Перейти к содержанию

Настройка Small Office Security


Рекомендуемые сообщения

В наличии четыре сервера Windows Server 2008 R2 с установленными лицензионными антивирусами Small Office Security.

Вчера на одном из серверов были зашифрованы все доки и базы 1С вирусом шифровальщиком.
Шифровальщик приостановил работу антивируса с помощью программы Process Hacker 2 (которую я не ставил, но дата ее установки вчерашняя).

Прошу помощи в настройки данного антивируса что бы в дальнейшем шифровальщики не могли напакостить на сервере.

Ссылка на сообщение
Поделиться на другие сайты
@proficit, смотрите в логах кто и откуда подключился к серверу. Меняйте логины/пароли, закрывайте доступ к серверу. Ведь, чтобы поставить prochacker - к вам на сервер физически попали. Настройки антивируса вам не помогут.
Ссылка на сообщение
Поделиться на другие сайты

 

 


Настройки антивируса вам не помогут.
почему не помогут если правильно настроить защищаемые папки и файлы.

 

@proficit, почитайте к примеру тут https://support.kaspersky.ru/10905

Ссылка на сообщение
Поделиться на другие сайты

@regist, там явно сказано, что его хакнули и поставили prochacker, которому плевать на пароли и все-такое

Пока у злоумышленников будет доступ к серверу, никакие настройки не спасут.

И да, все эти ссылки я читал

Ссылка на сообщение
Поделиться на другие сайты

@oit,

 


Шифровальщик приостановил работу антивируса с помощью программы Process Hacker 2 (которую я не ставил,
лично мне не понятно как при нормально работающем антивирусе смогли запустить эту программу и приостановить работу антивируса. Так как антивирус по дефолту (если заранее не настроить исключения) ругается на Process Hacker, а как следствие не должен позволить что-то ему сделать и тем более завершить свою работу.

Не спорю дырки на сервере конечно надо закрывать, но и в антивирусе защиту тоже нужно настраивать. Хотя бы для того чтобы по сети не могли пошифровать файлы.

Ссылка на сообщение
Поделиться на другие сайты

 

 

Вчера на одном из серверов были зашифрованы все доки и базы 1С вирусом шифровальщиком.

Сбрутили скорее всего пароль к какой-то учетной записи, а далее зашли по RDP и отключили антивирус. Это особенно актуально если не ставить обновления на сервер и иметь стандартный порт RDP 3389. 

 

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

@regist, ничего там не ругается, по крайней мере, я никаких правил для этого по не настраивал. В последний месяц я читал, что kes ругаться начал на это ПО, но речь про серверные ос там не шла


@kmscom,  а зачем? Их цель зашифровать, что они с лёгкостью совершили

Ссылка на сообщение
Поделиться на другие сайты

Добрый вечер, @proficit,

1. Включите расширенные базы антивируса: Настройка-->Дополнительно-->Угрозы и исключения-->Обнаруживать ....

2. Включите компонент защита от сетевых атак: Настройка-->Защита.

3. Настройте компонент контроль программ: https://support.kaspersky.ru/12866

4. Настройте сетевой экран: https://support.kaspersky.ru/12864

5. Установите пароль на настройки антивируса.

 

Установите все критические обновления для вашего сервера и поменяйте пароли от учетных записей, которые используются для удаленного подключения и т.п., лишние учетные записи отключите.

Изменено пользователем Friend
Ссылка на сообщение
Поделиться на другие сайты

regist, ничего там не ругается, по крайней мере, я никаких правил для этого по не настраивал.

https://www.virustotal.com/file/bd2c2cf0631d881ed382817afcce2b093f4e412ffb170a719e2762f250abfea4/analysis/1507995299/

https://www.virustotal.com/file/70211a3f90376bbc61f49c22a63075d1d4ddd53f0aefa976216c46e6ba39a9f4/analysis/1507998190/

http://whitelisting.kaspersky.com/advisor-ru#search/1b5c3c458e31bede55145d0644e88d75

Так что должен обзывать not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen

  • Нет слов 1
Ссылка на сообщение
Поделиться на другие сайты

@regist, я тоже могу написать красным и большим шрифтом. Этот детект добавили СОВСЕМ НЕДАВНО и касался  он только Workstation.

*читать нужно не через строку

  • Нет слов 1
Ссылка на сообщение
Поделиться на другие сайты

Я не поленился скачать и проверить.

KIS ругается на программу только если установлена галочка "Обнаруживать другие программы, которые....".

Ссылка на сообщение
Поделиться на другие сайты

 

 


Этот детект добавили СОВСЕМ НЕДАВНО
его добавили минимум как полгода.

 

 


*читать нужно не через строку
это как раз применимо к вам. Насколько понимаю вы спутали детект по поведению (который добавили как раз недавно) с сигнатурным детектом, который уже давно.
  • Баян 1
Ссылка на сообщение
Поделиться на другие сайты

@regist, кому нафиг интересен сигнатурный детект? когда он по умолчанию не включен.

 

 


KIS ругается на программу только если установлена галочка "Обнаруживать другие программы, которые....".
и да, идите уже и проверяйте. Что вам доказывать ... Фома неверующий.
Ссылка на сообщение
Поделиться на другие сайты

 

 


и да, идите уже и проверяйте. Что вам доказывать ... Фома неверующий.
проверять должны вы ибо это вы не верите, что детект давно есть и сначала утверждаете

 


Настройки антивируса вам не помогут.

А из вашего последнего же сообщения вытекает, что будь настройки не по умолчанию, а как выше посоветовал @Friend, то уже трюк со взломом не прошёл. Вот идите и проверяйте, чтобы в следующий раз писать что-то более толковое чем

 

 

детект... касался  он только Workstation.
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...