Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2016-03-22 13:40:29

  guzzi - Członek DUG

guzzi
Członek DUG
Skąd: Asteroida Linux
Zarejestrowany: 2005-03-31

CTB-Locker

Znacie może rozwiązanie by na serwerze pocztowym wywalać to g@wno zanim dotrze do odbiorcy?

http://di.com.pl/ctb-locker-powrocil-atakuje-serwery-www-i-oferuje-bezplatne-demo-54578

Offline

 

#2  2016-03-22 21:48:39

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: CTB-Locker

[quote=guzzi]Znacie może rozwiązanie by na serwerze pocztowym wywalać to g@wno zanim dotrze do odbiorcy?

http://di.com.pl/ctb-locker-powrocil-atakuje-serwery-www-i-oferuje-bezplatne-demo-54578[/quote]
Kaspersky Antywirus... :D

Kaspersky nie wykrył, tylko sam to napisał.

Za moment Clam będzie to wykrywał, a co do luk w zabezpieczeniach serwera pocztowego, to masz np Grsec, Pax, SELinux, Apparmor, Tomoyo, do wyboru,
do koloru.
Po prostu solidnie dozbroić serwer i powinin być spokój.

Przy okazji warto mieć wszystkie binarki na serwerze kompilowane z PIE, SPP
i podobnymi zabezpieczeniami na okoliczność exploitów.

Na przykład tak:

Kod:

hardening-check  `which mplayer`
/usr/bin/mplayer:
 Position Independent Executable: yes
 Stack protected: yes
 Fortify Source functions: yes (some protected functions found)
 Read-only relocations: yes
 Immediate binding: yes

PS:

Kod:

dpkg -S  `which hardening-check`
hardening-includes: /usr/bin/hardening-check

Kod:

cat /etc/debian_version 
stretch/sid

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2016-03-23 04:08:52)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2016-03-23 08:26:56

  guzzi - Członek DUG

guzzi
Członek DUG
Skąd: Asteroida Linux
Zarejestrowany: 2005-03-31

Re: CTB-Locker

Pytam bo jestem zmuszony postawić u siebie serwer poczty. A tak przy okazji odnośnie tego g@wna.
Znajoma otrzymała e-mail z załącznikiem CTB-Locker odebrała i straciła co miała. Zawołała bym pomógł, jednak moim zdaniem nic z tego. Więc udała siędo jakiegoś podobno guru i twierdzi że ten guru odzyskuje jej dane. I tu moje pytanie. Czy w/w guru posiada jakieś tajne narzędzie? Bo szukałem po necie i są jakieś wzmianki o niby to działających aplikacjach ale w komentarzach usery pisza że niestety nie działa.

Offline

 

#4  2016-03-23 18:17:25

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: CTB-Locker

Jak już otrzymała, to nie do mnie z tym.

Ja stawiasz serwer pocztowy, to tam możesz ustawić np Amavisa (Postfix), albo Qmail-scanner (Qmail), żeby sprawdzał zawartość załączników, i wywalał niedozwolone rozszerzenia czy typy mime.

Clamd też może skanować archiwa ZIP, i clamav-milter też łapie podejrzane pliki.

To w kwestii serwera pocztowego.

A znajomą weź w obroty, żeby na przyszłość wypakowała  klienta poczty do sandboxa (zrobionego z Sandboxie (licencja dożywotnia około $40) albo np Comodo-security - dało się go za darmo zainstalować jako Comodo-firewall), wtedy taki CTB-Locker za dużo nie nabroi.

Albo w ogóle na windę niech kupi AppGuarda, ten sobie lepiej radzi, niż większość antywirów, bo po prostu sprawdza sumy kontrolne dozwolonych binarek, i jest względny spokój, ale za roczny abonament.

Tu masz coś lamerskiego o tym draństwie:
https://usunwirusa.pl/wirus-ctb-locker/

Albo w ogóle wymień babce Windę na Debiana, będzie spokój. :D

W ogóle nie czaję, co to znaczy, wirus w załączniku maila, takie rzeczy działały 15 lat temu, teraz to chyba trzeba maila na takiej tandecie jak o2 złożyć, żeby tam podobne śmiecie przechodziły.

Tu są jakieś sygnatury do Clama na to draństwo:
https://forums.contribs.org/index.php?topic=51501.0

Ale i tak najbezpieczniej w filtrach serwera pocztowego dać jako dozwolone tylko niektóre typy załączników.

Np Amavis:

Kod:

grep exe /etc/amavisd.conf 
  qr'^\.(exe-ms|dll)$',                   # banned file(1) types, rudimentary
# qr'^\.(exe|lha|cab|dll)$',              # banned file(1) types
  qr'^(?!cid:).*\.[^./]*[A-Za-z][^./]*\.\s*(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)[.\s]*$'i,
  qr'.\.(exe|vbs|pif|scr|cpl)$'i,             # banned extension - basic
# qr'.\.(exe|vbs|pif|scr|cpl|bat|cmd|com)$'i, # banned extension - basic+cmd
# qr'.\.(ade|adp|app|bas|bat|chm|cmd|com|cpl|crt|emf|exe|fxp|grp|hlp|hta|
  ['exe',  \&do_executable, ['rar','unrar'], 'lha', ['arj','unarj'] ],

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2016-03-23 18:28:22)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2016-03-23 20:33:03

  guzzi - Członek DUG

guzzi
Członek DUG
Skąd: Asteroida Linux
Zarejestrowany: 2005-03-31

Re: CTB-Locker

To wszystko czytałem. Zastanawia mnie w/w guru (jak w ogóle istnieje i nie jest to zmyślona historia), jak jest to kodowane jakimś 128-bitowym kluczem to nie mam pojęcia jak to rozwalił.
Tu jest opis walki z tym g@wnem. [url]https://www.google.pl/?gws_rd=ssl#q=CTB-Locker+128[/url]

Ostatnio edytowany przez guzzi (2016-03-23 20:33:33)

Offline

 

#6  2016-03-23 21:42:19

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: CTB-Locker

Ten guru, może sam przyrządził CTB-lockera dla dziewczyny, żeby jej potem wiedzą szpanować, i poderwać przy okazji?

Jak to diabelstwo poszyfruje pliki, to pozamiatane.
Lepiej jakąś potezę ACl czy Sandbox zrobić, żeby pierdolone ąmiecie trzymać z daleka od ważnych danych.
I przy okazji, zakażać używania Outlooka, a w Thunderbirdzie zablokować działanie wtyczek typu java.
W ogóle nie czaję, po co ludzie javę na kompach trzymają, ja javy już ze 2-3 lata nie mam, i jakoś żyję jeszcze. :D

EDIT:
Rzuć okiem na ten koment:
https://niebezpiecznik.pl/post/zainfekowal-cie-cryptolocker-oto-jak-nie-placac-haraczu-odzyskac-pliki/#comment-518299

Tu masz sposób na przyszłość:
http://www.howtogeek.com/195381/ensure-a-windows-pc-never-gets-malware-by-whitelisting-applications/

Ostatnio edytowany przez Jacekalex (2016-03-23 22:09:35)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2016-03-24 07:24:13

  guzzi - Członek DUG

guzzi
Członek DUG
Skąd: Asteroida Linux
Zarejestrowany: 2005-03-31

Re: CTB-Locker

Po co javę trzymają? Bo owa Pani pracuje w placówce oświatowej i tam muszą używać aplikacji która bez javy nie zadziała.

Offline

 

#8  2016-03-24 18:50:12

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: CTB-Locker

[quote=guzzi]Po co javę trzymają? Bo owa Pani pracuje w placówce oświatowej i tam muszą używać aplikacji która bez javy nie zadziała.[/quote]
To może przepis z tym child kontem w Windows pomoże?
Sznurek masz tam gdzieś wyżej.
Od wersji 7 chyba jest coś takiego, konto dla dzidzi, z listą dozwolonych programów.
Wtedy Javę odpali, Outlooka odpali, ale nieznanych binarek, których nie ma na liście, już niekoniecznie.

Co do zaszyfrowanych plików, to jeśli są szyfrowane 128 bitowym kluczem RSA, to to jest do złamania, o ile wyczeszesz z wirusa klucz publiczny.

W protokole RSA minimalna uznawana za bezpieczną długość klucza RSA to 2048 bit, czyli 16 razy więcej, niż ma ten wirus.
Np w SSH - ssh-keygen pozwala wygenerować RSA 16384 bity, w GnuPG maks 4096 bit.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)

[ Generated in 0.010 seconds, 14 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00122 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.149.237.231' WHERE u.id=1
0.00071 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.149.237.231', 1732384612)
0.00042 SELECT * FROM punbb_online WHERE logged<1732384312
0.00070 DELETE FROM punbb_online WHERE ident='18.117.99.192'
0.00059 DELETE FROM punbb_online WHERE ident='3.145.115.139'
0.00058 DELETE FROM punbb_online WHERE ident='3.23.101.60'
0.00055 SELECT topic_id FROM punbb_posts WHERE id=299645
0.00004 SELECT id FROM punbb_posts WHERE topic_id=28425 ORDER BY posted
0.00051 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=28425 AND t.moved_to IS NULL
0.00004 SELECT search_for, replace_with FROM punbb_censoring
0.00126 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=28425 ORDER BY p.id LIMIT 0,25
0.00080 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=28425
Total query time: 0.00758 s