Kido и сервера

Printable View

07.09.2009, 11:31
Rainmib

Kido и сервера

Проблема как у всех - есть сервера 4-5 штук в огранизации.
Установлены windows 2003 sp1 местами sp2
windows 2007 sp1

Как только кидо появился в первый раз(где то летом) выл скачен новый kk.exe - он же кидокиллер. Версии от мая сего года.
Убит Кидо на всех машинах и установлены все патчи которые реккомендовал Касперский:
[URL="http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx"][B]MS08-067[/B][/URL], [URL="http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx"][B]MS08-068[/B][/URL], [URL="http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx"][B]MS09-001[/B][/URL]
И на 2007 сервер тоже нашёл скачал и установил патчи.
Перезагрузил сервера всё норм.

Но периодически Кидо проявляется.
Притом не на всех серверах но рандомно. На 2-3. Раз в 1-2 месяца.
Сначала появляются шедулинги какие то нелепые - кк.еxe их отлавливает и удаляет. Потом и сам кидо родится со всеми последствиями.

Вопрос просто Что делать то - какие патчи установить что бы кидо не пробрался никогда??? Во всей конторе стоит лицензионный симантек - на конфикер(кидо) периодически ругается но сделать с ним ничего не может. Лечим ручками с помощью kk на локальных машинах.

Спасибо большое заранее если есть работающее решение (
07.09.2009, 11:34
anton_dr

А как обстоят дела с паролями и автозапуском? А также "здоровьем" остальных ПК в сети?
07.09.2009, 18:19
Rainmib

С паролями дела обстоят плохо - контора на аутсорсинге - и заставить всех менять и следить за этим невозможно... По политике стоит 6 буков и смена раз в 3 месяца. 2 контроллера домена. Со здоровьем остальных пк - иногда что то по мелочи проскакивает - но в целом кроме кидо ничего не беспокоит. Антивирус на всех машинах.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Автозапуск отключён политикой домена на всех дисках

[size="1"][color="#666686"][B][I]Добавлено через 1 час 42 минуты[/I][/B][/color][/size]

up

[size="1"][color="#666686"][B][I]Добавлено через 4 часа 59 минут[/I][/B][/color][/size]

ап
07.09.2009, 19:40
anton_dr

[QUOTE='Rainmib;463375']Со здоровьем остальных пк - иногда что то по мелочи проскакивает - но в целом кроме кидо ничего не беспокоит. [/QUOTE]
Я про проверку и профилактику Kido.

[QUOTE='Rainmib;463375']По политике стоит 6 буков и смена раз в 3 месяца.[/QUOTE]
Т.е. пароли могу быть вполне и 123456? Я в таких случаях ставлю вопрос так - или мы делаем так как надо, или - "не виноватая я (с)". Соглашаются в конце концов почти все. Так как при сравнении - запомнить пароль=сохранить примерно 1 т.р. за возможное лечение, здравый смысл всем подскажет верное решение :)
07.09.2009, 23:32
light59

[QUOTE='Rainmib;463369']Вопрос просто Что делать то - какие патчи установить ???[/QUOTE]
Все, какие существуют.
И, как говорилось ранее, сложные пароли.
08.09.2009, 00:25
AndreyKa

[QUOTE='Rainmib;463375']контора на аутсорсинге[/QUOTE]
Читайте договор и думайте: либо вы платите не за то что вам нужно, либо они не делают то, за что вы платите.
08.09.2009, 10:55
Rainmib

Да как бы платят нам :) потому и надоело их лечить.
На счёт паролей понял - щас будем предпринимать меры.
13.10.2009, 16:56
Rainmib

ПОлная засада - сегодня с утра опять ВСЕ сервера в кидо.
Полностью - поставил (переставил) все 3 обновления которые рекомнудуются для устранениея уявзвимости.
Скачал самый новый kk.exe версии от 7 октября.
Прошёлся и им и старым kk.exe
Всё почистил. Все перегрузил.
Через час все сервера опять в вирусах!

[size="1"][color="#666686"][B][I]Добавлено через 4 часа 26 минут[/I][/B][/color][/size]

Граждане спасите помогите.
Опять - через пол часа-час снова - полное заражение всех серверов.
Стоят все обновления.
2007 все апдейты скачал и поставил.
Прошёлся по всем свежим куреитом от дрвеба..
Всё чищю через пол часа-час все сервера лежат.
13.10.2009, 23:44
thyrex

[QUOTE='Rainmib;485247']Всё чищю через пол часа-час все сервера лежат.[/QUOTE]Вы чистите только сервера или всю сеть?
14.10.2009, 10:41
Rainmib

Чистим сервера... Во всей сети стоит симантек - который постоянно блокирует киду.
По мере сил щас начал чистить и каждую машину которую в логах вижу.
Бред то в том что микросовтовские заплатки не помогат вообще :(
14.10.2009, 11:16
Alexey P.

Микрософтовские заплатки мне тоже не помогали, когда в домене был администратор с легким паролем 12345. Червь пароль подбирал и ходил с правами этого админа, тоже не знали, что делать, пока сниффером не вычислили этого админа.
Смените пароли админов в первую очередь, на нормальные.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

и временно отключите службу шедулера на серваках.
При входе от админа червь ложит в system32 свою длл и ложит задачу для шедулера запускать эту длл раз в час.
19.10.2009, 10:36
Rainmib

Сменил пароль всем домен админам их всего 3.
Проблема - пароли локальных админов на клиентских машинах - пустые.
19.10.2009, 11:17
Alexey P.

Значит, оттуда вы кидо не выгоните, будет ходить по клиентским машинам как к себе домой.
Ставьте на все пароль, иначе это бесконечная песня.
20.10.2009, 11:25
Rainmib

Поставил kk в стартап скрипт :) начал ставить пароли на локальные машины