-
Junior Member
- Вес репутации
- 57
Kido и сервера
Проблема как у всех - есть сервера 4-5 штук в огранизации.
Установлены windows 2003 sp1 местами sp2
windows 2007 sp1
Как только кидо появился в первый раз(где то летом) выл скачен новый kk.exe - он же кидокиллер. Версии от мая сего года.
Убит Кидо на всех машинах и установлены все патчи которые реккомендовал Касперский:
MS08-067, MS08-068, MS09-001
И на 2007 сервер тоже нашёл скачал и установил патчи.
Перезагрузил сервера всё норм.
Но периодически Кидо проявляется.
Притом не на всех серверах но рандомно. На 2-3. Раз в 1-2 месяца.
Сначала появляются шедулинги какие то нелепые - кк.еxe их отлавливает и удаляет. Потом и сам кидо родится со всеми последствиями.
Вопрос просто Что делать то - какие патчи установить что бы кидо не пробрался никогда??? Во всей конторе стоит лицензионный симантек - на конфикер(кидо) периодически ругается но сделать с ним ничего не может. Лечим ручками с помощью kk на локальных машинах.
Спасибо большое заранее если есть работающее решение (
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А как обстоят дела с паролями и автозапуском? А также "здоровьем" остальных ПК в сети?
-
-
Junior Member
- Вес репутации
- 57
С паролями дела обстоят плохо - контора на аутсорсинге - и заставить всех менять и следить за этим невозможно... По политике стоит 6 буков и смена раз в 3 месяца. 2 контроллера домена. Со здоровьем остальных пк - иногда что то по мелочи проскакивает - но в целом кроме кидо ничего не беспокоит. Антивирус на всех машинах.
Добавлено через 1 минуту
Автозапуск отключён политикой домена на всех дисках
Добавлено через 1 час 42 минуты
up
Добавлено через 4 часа 59 минут
ап
Последний раз редактировалось Rainmib; 07.09.2009 в 18:19.
Причина: Добавлено
-
Сообщение от
Rainmib
Со здоровьем остальных пк - иногда что то по мелочи проскакивает - но в целом кроме кидо ничего не беспокоит.
Я про проверку и профилактику Kido.
Сообщение от
Rainmib
По политике стоит 6 буков и смена раз в 3 месяца.
Т.е. пароли могу быть вполне и 123456? Я в таких случаях ставлю вопрос так - или мы делаем так как надо, или - "не виноватая я (с)". Соглашаются в конце концов почти все. Так как при сравнении - запомнить пароль=сохранить примерно 1 т.р. за возможное лечение, здравый смысл всем подскажет верное решение
-
-
Сообщение от
Rainmib
Вопрос просто Что делать то - какие патчи установить ???
Все, какие существуют.
И, как говорилось ранее, сложные пароли.
-
-
Сообщение от
Rainmib
контора на аутсорсинге
Читайте договор и думайте: либо вы платите не за то что вам нужно, либо они не делают то, за что вы платите.
-
-
Junior Member
- Вес репутации
- 57
Да как бы платят нам потому и надоело их лечить.
На счёт паролей понял - щас будем предпринимать меры.
-
Junior Member
- Вес репутации
- 57
ПОлная засада - сегодня с утра опять ВСЕ сервера в кидо.
Полностью - поставил (переставил) все 3 обновления которые рекомнудуются для устранениея уявзвимости.
Скачал самый новый kk.exe версии от 7 октября.
Прошёлся и им и старым kk.exe
Всё почистил. Все перегрузил.
Через час все сервера опять в вирусах!
Добавлено через 4 часа 26 минут
Граждане спасите помогите.
Опять - через пол часа-час снова - полное заражение всех серверов.
Стоят все обновления.
2007 все апдейты скачал и поставил.
Прошёлся по всем свежим куреитом от дрвеба..
Всё чищю через пол часа-час все сервера лежат.
Последний раз редактировалось Rainmib; 13.10.2009 в 16:56.
Причина: Добавлено
-
Сообщение от
Rainmib
Всё чищю через пол часа-час все сервера лежат.
Вы чистите только сервера или всю сеть?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Чистим сервера... Во всей сети стоит симантек - который постоянно блокирует киду.
По мере сил щас начал чистить и каждую машину которую в логах вижу.
Бред то в том что микросовтовские заплатки не помогат вообще
-
Микрософтовские заплатки мне тоже не помогали, когда в домене был администратор с легким паролем 12345. Червь пароль подбирал и ходил с правами этого админа, тоже не знали, что делать, пока сниффером не вычислили этого админа.
Смените пароли админов в первую очередь, на нормальные.
Добавлено через 3 минуты
и временно отключите службу шедулера на серваках.
При входе от админа червь ложит в system32 свою длл и ложит задачу для шедулера запускать эту длл раз в час.
Последний раз редактировалось Alexey P.; 14.10.2009 в 11:16.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 57
Сменил пароль всем домен админам их всего 3.
Проблема - пароли локальных админов на клиентских машинах - пустые.
-
Значит, оттуда вы кидо не выгоните, будет ходить по клиентским машинам как к себе домой.
Ставьте на все пароль, иначе это бесконечная песня.
-
-
Junior Member
- Вес репутации
- 57
Поставил kk в стартап скрипт начал ставить пароли на локальные машины