Потенциальная уязвимость!

12 3
sladkydze
На сайте с 07.12.2012
Offline
229
7805

Товарищи, у меня очень массово клиенты хватанули CPU Miner на своих машинах. Очень похоже на дырку в мелкософтах очередную, проверяйтесь:

***********************

Появилась новая уязвимость в операционных системах Microsoft.

Риску подвержены системы Vista, Windows7, 2008, 2008R2 всех версий. Возможно, в зоне риска и другие операционные системы.

Суть уязвимости: злоумышленник получает возможность установки и запуска на удаленной машине произвольного программного кода. В том числе установки сервисов.

При этом наличие фаервола и сложные пароли никак не спасают.

Массовая проблема появилась 23 апреля. Многим клиентам был внедрен CPU Miner. Программа, использующая ресурсы процессора (на сервере жертвы) для заработка денег.

Проявление: сервер тормозит и имеет высокую нагрузку на процессор.

Как выснить есть ли у вас на машине CPU Miner?

1. У вас присутствует папка вида: C:\Windows\winsxslog (штатно этой папки не должно быть).

2. В сервисах присутствует сервис (служба) без описания с именем вида: DCFOWBCA (для каждого компьютера имя сервиса и имя исполняемого файла уникально и случайно)

3. При запуске диспетчера задач нагрузка на процессор падает, а CPU Miner прячется (выгружается из памяти).

Как остановить CPU Miner?

1. В службах у указанного сервиса изменить тип запуска с Автоматический на Отключено.

2. Остановить службу не получится.

3. Запустить диспетчер задач (тем самым остановив Miner)

4. У папки C:\Windows\winsxslog задать права NTFS, запрещающие кому либо доступ в нее.

5. Перезагрузить сервер.

Как обезопасить сервер на будущее?

- установить все обновления на операционную систему

---------- Добавлено 26.04.2017 в 11:37 ----------

Короче понеслась. Через эту дыру начали массово пихать на машины что попало....

Предлагаю VDS, IaaS, Dedicated. http://riaas.ru (http://riaas.ru)
PrintIP
На сайте с 03.12.2007
Offline
199
#1

Есть такое дело. На 2-ух личных впсках словил. Запустил диспетчер задач и нагрузка на процессор упала. Но на впсках ничего критичного нету, придется работать с открытым диспетчером задач 🙄

manca
На сайте с 17.08.2008
Offline
140
#2

Да тоже запустил, но нагрузка на процессор не упала..

Куплю приложения ! рассмотрю любые, с доходом и без
kxk
На сайте с 30.01.2005
Offline
978
kxk
#3

Никаких проблем нет, может меньше нужно ломанные винды использовать?

Ваш DEVOPS
anchous
На сайте с 12.10.2010
Offline
139
#4
sladkydze:
Товарищи, у меня очень массово клиенты хватанули CPU Miner на своих машинах. Очень похоже на дырку в мелкософтах очередную, проверяйтесь

вероятнее всего это последствия последнего пака эксплоитов, спертых у анб. имхо прикрывается фаерволом и ips

Купить быстрые анонимные прокси в России, Европе и США (http://proxy4seo.net/)
FairyHosting.com
На сайте с 23.09.2010
Offline
171
#5

kxk, клиентов не заставить обновляться вовремя, к сожалению.

Аренда виртуальных и выделенных серверов в Эстонии. (http://fairyhosting.com/) Профессионально, конфиденциально, надёжно.
[Удален]
#6
anchous:
вероятнее всего это последствия последнего пака эксплоитов, спертых у анб. имхо прикрывается фаерволом и ips

Да, так и есть. Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.

Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.

В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.

В этом наборе есть опасный инструмент DoublePulsar.

Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar

простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

Мы закрыли 445 порт и рекомендуем ставить MS 17-010 нашим клиентам.

anchous
На сайте с 12.10.2010
Offline
139
#7
vpsville:
Мы закрыли 445 порт и рекомендуем ставить MS 17-010 нашим клиентам.

это, откровенно говоря, очень странная тема - совать в инет виндовую машину в открытыми портами, ибо уязвимости 445 порта используют с начала века. там была куча черервей стучавшихся на него, т.ч неприкрытая машина жила в инете секунд 40

[Удален]
#8
anchous:
это, откровенно говоря, очень странная тема - совать в инет виндовую машину в открытыми портами, ибо уязвимости 445 порта используют с начала века. там была куча черервей стучавшихся на него, т.ч неприкрытая машина жила в инете секунд 40

От АНБ ничего не спасет. Даже если отключить сервер от сети, через флешку вирусню подсунут как было со Stuxnet'ом в Иранской ядерной программе.

anchous
На сайте с 12.10.2010
Offline
139
#9
vpsville:
От АНБ ничего не спасет. Даже если отключить сервер от сети, через флешку вирусню подсунут как было со Stuxnet'ом в Иранской ядерной программе.

ну тут не про анб разговор, ибо 146% пользователей серча им интересны разве только в виде массива биг даты. просто это стандартная практика уже лет 20 закрывать из-вне все дырявые мелкомягкие порты 113, 135-139, 445

sladkydze
На сайте с 07.12.2012
Offline
229
#10

Короче апдейты на винду помогают, так что все апдейтимся.

12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий