proficit 0 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 В наличии четыре сервера Windows Server 2008 R2 с установленными лицензионными антивирусами Small Office Security. Вчера на одном из серверов были зашифрованы все доки и базы 1С вирусом шифровальщиком.Шифровальщик приостановил работу антивируса с помощью программы Process Hacker 2 (которую я не ставил, но дата ее установки вчерашняя). Прошу помощи в настройки данного антивируса что бы в дальнейшем шифровальщики не могли напакостить на сервере. Ссылка на сообщение Поделиться на другие сайты
oit 2 163 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 @proficit, смотрите в логах кто и откуда подключился к серверу. Меняйте логины/пароли, закрывайте доступ к серверу. Ведь, чтобы поставить prochacker - к вам на сервер физически попали. Настройки антивируса вам не помогут. Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 Настройки антивируса вам не помогут. почему не помогут если правильно настроить защищаемые папки и файлы. @proficit, почитайте к примеру тут https://support.kaspersky.ru/10905 Ссылка на сообщение Поделиться на другие сайты
oit 2 163 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 @regist, там явно сказано, что его хакнули и поставили prochacker, которому плевать на пароли и все-такое Пока у злоумышленников будет доступ к серверу, никакие настройки не спасут. И да, все эти ссылки я читал Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 @oit, Шифровальщик приостановил работу антивируса с помощью программы Process Hacker 2 (которую я не ставил, лично мне не понятно как при нормально работающем антивирусе смогли запустить эту программу и приостановить работу антивируса. Так как антивирус по дефолту (если заранее не настроить исключения) ругается на Process Hacker, а как следствие не должен позволить что-то ему сделать и тем более завершить свою работу.Не спорю дырки на сервере конечно надо закрывать, но и в антивирусе защиту тоже нужно настраивать. Хотя бы для того чтобы по сети не могли пошифровать файлы. Ссылка на сообщение Поделиться на другие сайты
kmscom 2 358 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 что то злоумышленики пошли долгим путем, могли и вообще удалить антивирус ))) Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 (изменено) Вчера на одном из серверов были зашифрованы все доки и базы 1С вирусом шифровальщиком. Сбрутили скорее всего пароль к какой-то учетной записи, а далее зашли по RDP и отключили антивирус. Это особенно актуально если не ставить обновления на сервер и иметь стандартный порт RDP 3389. https://1cloud.ru/help/windows/windowssecurity Изменено 14 октября, 2017 пользователем mike 1 Ссылка на сообщение Поделиться на другие сайты
oit 2 163 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 @regist, ничего там не ругается, по крайней мере, я никаких правил для этого по не настраивал. В последний месяц я читал, что kes ругаться начал на это ПО, но речь про серверные ос там не шла @kmscom, а зачем? Их цель зашифровать, что они с лёгкостью совершили Ссылка на сообщение Поделиться на другие сайты
Friend 1 295 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 (изменено) Добрый вечер, @proficit, 1. Включите расширенные базы антивируса: Настройка-->Дополнительно-->Угрозы и исключения-->Обнаруживать .... 2. Включите компонент защита от сетевых атак: Настройка-->Защита. 3. Настройте компонент контроль программ: https://support.kaspersky.ru/12866 4. Настройте сетевой экран: https://support.kaspersky.ru/12864 5. Установите пароль на настройки антивируса. Установите все критические обновления для вашего сервера и поменяйте пароли от учетных записей, которые используются для удаленного подключения и т.п., лишние учетные записи отключите. Изменено 14 октября, 2017 пользователем Friend Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 regist, ничего там не ругается, по крайней мере, я никаких правил для этого по не настраивал. https://www.virustotal.com/file/bd2c2cf0631d881ed382817afcce2b093f4e412ffb170a719e2762f250abfea4/analysis/1507995299/ https://www.virustotal.com/file/70211a3f90376bbc61f49c22a63075d1d4ddd53f0aefa976216c46e6ba39a9f4/analysis/1507998190/ http://whitelisting.kaspersky.com/advisor-ru#search/1b5c3c458e31bede55145d0644e88d75 Так что должен обзывать not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen 1 Ссылка на сообщение Поделиться на другие сайты
oit 2 163 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 @regist, я тоже могу написать красным и большим шрифтом. Этот детект добавили СОВСЕМ НЕДАВНО и касался он только Workstation. *читать нужно не через строку 1 Ссылка на сообщение Поделиться на другие сайты
andrew75 1 467 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 Я не поленился скачать и проверить. KIS ругается на программу только если установлена галочка "Обнаруживать другие программы, которые....". Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 Этот детект добавили СОВСЕМ НЕДАВНО его добавили минимум как полгода. *читать нужно не через строку это как раз применимо к вам. Насколько понимаю вы спутали детект по поведению (который добавили как раз недавно) с сигнатурным детектом, который уже давно. 1 Ссылка на сообщение Поделиться на другие сайты
oit 2 163 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 @regist, кому нафиг интересен сигнатурный детект? когда он по умолчанию не включен. KIS ругается на программу только если установлена галочка "Обнаруживать другие программы, которые....". и да, идите уже и проверяйте. Что вам доказывать ... Фома неверующий. Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 и да, идите уже и проверяйте. Что вам доказывать ... Фома неверующий. проверять должны вы ибо это вы не верите, что детект давно есть и сначала утверждаете Настройки антивируса вам не помогут. А из вашего последнего же сообщения вытекает, что будь настройки не по умолчанию, а как выше посоветовал @Friend, то уже трюк со взломом не прошёл. Вот идите и проверяйте, чтобы в следующий раз писать что-то более толковое чем детект... касался он только Workstation. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти