Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Znacie może rozwiązanie by na serwerze pocztowym wywalać to g@wno zanim dotrze do odbiorcy?
http://di.com.pl/ctb-locker-powrocil-atakuje-serwery-www-i-oferuje-bezplatne-demo-54578
Offline
[quote=guzzi]Znacie może rozwiązanie by na serwerze pocztowym wywalać to g@wno zanim dotrze do odbiorcy?
http://di.com.pl/ctb-locker-powrocil-atakuje-serwery-www-i-oferuje-bezplatne-demo-54578[/quote]
Kaspersky Antywirus... :D
Kaspersky nie wykrył, tylko sam to napisał.
Za moment Clam będzie to wykrywał, a co do luk w zabezpieczeniach serwera pocztowego, to masz np Grsec, Pax, SELinux, Apparmor, Tomoyo, do wyboru,
do koloru.
Po prostu solidnie dozbroić serwer i powinin być spokój.
Przy okazji warto mieć wszystkie binarki na serwerze kompilowane z PIE, SPP
i podobnymi zabezpieczeniami na okoliczność exploitów.
Na przykład tak:
hardening-check `which mplayer` /usr/bin/mplayer: Position Independent Executable: yes Stack protected: yes Fortify Source functions: yes (some protected functions found) Read-only relocations: yes Immediate binding: yes
PS:
dpkg -S `which hardening-check` hardening-includes: /usr/bin/hardening-check
cat /etc/debian_version stretch/sid
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2016-03-23 04:08:52)
Offline
Pytam bo jestem zmuszony postawić u siebie serwer poczty. A tak przy okazji odnośnie tego g@wna.
Znajoma otrzymała e-mail z załącznikiem CTB-Locker odebrała i straciła co miała. Zawołała bym pomógł, jednak moim zdaniem nic z tego. Więc udała siędo jakiegoś podobno guru i twierdzi że ten guru odzyskuje jej dane. I tu moje pytanie. Czy w/w guru posiada jakieś tajne narzędzie? Bo szukałem po necie i są jakieś wzmianki o niby to działających aplikacjach ale w komentarzach usery pisza że niestety nie działa.
Offline
Jak już otrzymała, to nie do mnie z tym.
Ja stawiasz serwer pocztowy, to tam możesz ustawić np Amavisa (Postfix), albo Qmail-scanner (Qmail), żeby sprawdzał zawartość załączników, i wywalał niedozwolone rozszerzenia czy typy mime.
Clamd też może skanować archiwa ZIP, i clamav-milter też łapie podejrzane pliki.
To w kwestii serwera pocztowego.
A znajomą weź w obroty, żeby na przyszłość wypakowała klienta poczty do sandboxa (zrobionego z Sandboxie (licencja dożywotnia około $40) albo np Comodo-security - dało się go za darmo zainstalować jako Comodo-firewall), wtedy taki CTB-Locker za dużo nie nabroi.
Albo w ogóle na windę niech kupi AppGuarda, ten sobie lepiej radzi, niż większość antywirów, bo po prostu sprawdza sumy kontrolne dozwolonych binarek, i jest względny spokój, ale za roczny abonament.
Tu masz coś lamerskiego o tym draństwie:
https://usunwirusa.pl/wirus-ctb-locker/
Albo w ogóle wymień babce Windę na Debiana, będzie spokój. :D
W ogóle nie czaję, co to znaczy, wirus w załączniku maila, takie rzeczy działały 15 lat temu, teraz to chyba trzeba maila na takiej tandecie jak o2 złożyć, żeby tam podobne śmiecie przechodziły.
Tu są jakieś sygnatury do Clama na to draństwo:
https://forums.contribs.org/index.php?topic=51501.0
Ale i tak najbezpieczniej w filtrach serwera pocztowego dać jako dozwolone tylko niektóre typy załączników.
Np Amavis:
grep exe /etc/amavisd.conf qr'^\.(exe-ms|dll)$', # banned file(1) types, rudimentary # qr'^\.(exe|lha|cab|dll)$', # banned file(1) types qr'^(?!cid:).*\.[^./]*[A-Za-z][^./]*\.\s*(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)[.\s]*$'i, qr'.\.(exe|vbs|pif|scr|cpl)$'i, # banned extension - basic # qr'.\.(exe|vbs|pif|scr|cpl|bat|cmd|com)$'i, # banned extension - basic+cmd # qr'.\.(ade|adp|app|bas|bat|chm|cmd|com|cpl|crt|emf|exe|fxp|grp|hlp|hta| ['exe', \&do_executable, ['rar','unrar'], 'lha', ['arj','unarj'] ],
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2016-03-23 18:28:22)
Offline
To wszystko czytałem. Zastanawia mnie w/w guru (jak w ogóle istnieje i nie jest to zmyślona historia), jak jest to kodowane jakimś 128-bitowym kluczem to nie mam pojęcia jak to rozwalił.
Tu jest opis walki z tym g@wnem. [url]https://www.google.pl/?gws_rd=ssl#q=CTB-Locker+128[/url]
Ostatnio edytowany przez guzzi (2016-03-23 20:33:33)
Offline
Ten guru, może sam przyrządził CTB-lockera dla dziewczyny, żeby jej potem wiedzą szpanować, i poderwać przy okazji?
Jak to diabelstwo poszyfruje pliki, to pozamiatane.
Lepiej jakąś potezę ACl czy Sandbox zrobić, żeby pierdolone ąmiecie trzymać z daleka od ważnych danych.
I przy okazji, zakażać używania Outlooka, a w Thunderbirdzie zablokować działanie wtyczek typu java.
W ogóle nie czaję, po co ludzie javę na kompach trzymają, ja javy już ze 2-3 lata nie mam, i jakoś żyję jeszcze. :D
EDIT:
Rzuć okiem na ten koment:
https://niebezpiecznik.pl/post/zainfekowal-cie-cryptolocker-oto-jak-nie-placac-haraczu-odzyskac-pliki/#comment-518299
Tu masz sposób na przyszłość:
http://www.howtogeek.com/195381/ensure-a-windows-pc-never-gets-malware-by-whitelisting-applications/
Ostatnio edytowany przez Jacekalex (2016-03-23 22:09:35)
Offline
Po co javę trzymają? Bo owa Pani pracuje w placówce oświatowej i tam muszą używać aplikacji która bez javy nie zadziała.
Offline
[quote=guzzi]Po co javę trzymają? Bo owa Pani pracuje w placówce oświatowej i tam muszą używać aplikacji która bez javy nie zadziała.[/quote]
To może przepis z tym child kontem w Windows pomoże?
Sznurek masz tam gdzieś wyżej.
Od wersji 7 chyba jest coś takiego, konto dla dzidzi, z listą dozwolonych programów.
Wtedy Javę odpali, Outlooka odpali, ale nieznanych binarek, których nie ma na liście, już niekoniecznie.
Co do zaszyfrowanych plików, to jeśli są szyfrowane 128 bitowym kluczem RSA, to to jest do złamania, o ile wyczeszesz z wirusa klucz publiczny.
W protokole RSA minimalna uznawana za bezpieczną długość klucza RSA to 2048 bit, czyli 16 razy więcej, niż ma ten wirus.
Np w SSH - ssh-keygen pozwala wygenerować RSA 16384 bity, w GnuPG maks 4096 bit.
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00092 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.221.167.11' WHERE u.id=1 |
0.00064 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.221.167.11', 1732702377) |
0.00047 | SELECT * FROM punbb_online WHERE logged<1732702077 |
0.00087 | DELETE FROM punbb_online WHERE ident='18.222.92.56' |
0.00077 | DELETE FROM punbb_online WHERE ident='3.17.181.122' |
0.00067 | SELECT topic_id FROM punbb_posts WHERE id=299637 |
0.00116 | SELECT id FROM punbb_posts WHERE topic_id=28425 ORDER BY posted |
0.00059 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=28425 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00075 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=28425 ORDER BY p.id LIMIT 0,25 |
0.00073 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=28425 |
Total query time: 0.00777 s |