Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Znacie może rozwiązanie by na serwerze pocztowym wywalać to g@wno zanim dotrze do odbiorcy?
http://di.com.pl/ctb-locker-powrocil-atakuje-serwer … ne-demo-54578
Offline
guzzi napisał(-a):
Znacie może rozwiązanie by na serwerze pocztowym wywalać to g@wno zanim dotrze do odbiorcy?
http://di.com.pl/ctb-locker-powrocil-atakuje-serwer … ne-demo-54578
Kaspersky Antywirus... :D
Kaspersky nie wykrył, tylko sam to napisał.
Za moment Clam będzie to wykrywał, a co do luk w zabezpieczeniach serwera pocztowego, to masz np Grsec, Pax, SELinux, Apparmor, Tomoyo, do wyboru,
do koloru.
Po prostu solidnie dozbroić serwer i powinin być spokój.
Przy okazji warto mieć wszystkie binarki na serwerze kompilowane z PIE, SPP
i podobnymi zabezpieczeniami na okoliczność exploitów.
Na przykład tak:
hardening-check `which mplayer` /usr/bin/mplayer: Position Independent Executable: yes Stack protected: yes Fortify Source functions: yes (some protected functions found) Read-only relocations: yes Immediate binding: yes
PS:
dpkg -S `which hardening-check` hardening-includes: /usr/bin/hardening-check
cat /etc/debian_version stretch/sid
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2016-03-23 04:08:52)
Offline
Pytam bo jestem zmuszony postawić u siebie serwer poczty. A tak przy okazji odnośnie tego g@wna.
Znajoma otrzymała e-mail z załącznikiem CTB-Locker odebrała i straciła co miała. Zawołała bym pomógł, jednak moim zdaniem nic z tego. Więc udała siędo jakiegoś podobno guru i twierdzi że ten guru odzyskuje jej dane. I tu moje pytanie. Czy w/w guru posiada jakieś tajne narzędzie? Bo szukałem po necie i są jakieś wzmianki o niby to działających aplikacjach ale w komentarzach usery pisza że niestety nie działa.
Offline
Jak już otrzymała, to nie do mnie z tym.
Ja stawiasz serwer pocztowy, to tam możesz ustawić np Amavisa (Postfix), albo Qmail-scanner (Qmail), żeby sprawdzał zawartość załączników, i wywalał niedozwolone rozszerzenia czy typy mime.
Clamd też może skanować archiwa ZIP, i clamav-milter też łapie podejrzane pliki.
To w kwestii serwera pocztowego.
A znajomą weź w obroty, żeby na przyszłość wypakowała klienta poczty do sandboxa (zrobionego z Sandboxie (licencja dożywotnia około $40) albo np Comodo-security - dało się go za darmo zainstalować jako Comodo-firewall), wtedy taki CTB-Locker za dużo nie nabroi.
Albo w ogóle na windę niech kupi AppGuarda, ten sobie lepiej radzi, niż większość antywirów, bo po prostu sprawdza sumy kontrolne dozwolonych binarek, i jest względny spokój, ale za roczny abonament.
Tu masz coś lamerskiego o tym draństwie:
https://usunwirusa.pl/wirus-ctb-locker/
Albo w ogóle wymień babce Windę na Debiana, będzie spokój. :D
W ogóle nie czaję, co to znaczy, wirus w załączniku maila, takie rzeczy działały 15 lat temu, teraz to chyba trzeba maila na takiej tandecie jak o2 złożyć, żeby tam podobne śmiecie przechodziły.
Tu są jakieś sygnatury do Clama na to draństwo:
https://forums.contribs.org/index.php?topic=51501.0
Ale i tak najbezpieczniej w filtrach serwera pocztowego dać jako dozwolone tylko niektóre typy załączników.
Np Amavis:
grep exe /etc/amavisd.conf qr'^\.(exe-ms|dll)$', # banned file(1) types, rudimentary # qr'^\.(exe|lha|cab|dll)$', # banned file(1) types qr'^(?!cid:).*\.[^./]*[A-Za-z][^./]*\.\s*(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)[.\s]*$'i, qr'.\.(exe|vbs|pif|scr|cpl)$'i, # banned extension - basic # qr'.\.(exe|vbs|pif|scr|cpl|bat|cmd|com)$'i, # banned extension - basic+cmd # qr'.\.(ade|adp|app|bas|bat|chm|cmd|com|cpl|crt|emf|exe|fxp|grp|hlp|hta| ['exe', \&do_executable, ['rar','unrar'], 'lha', ['arj','unarj'] ],
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2016-03-23 18:28:22)
Offline
To wszystko czytałem. Zastanawia mnie w/w guru (jak w ogóle istnieje i nie jest to zmyślona historia), jak jest to kodowane jakimś 128-bitowym kluczem to nie mam pojęcia jak to rozwalił.
Tu jest opis walki z tym g@wnem. https://www.google.pl/?gws_rd=ssl#q=CTB-Locker+128
Ostatnio edytowany przez guzzi (2016-03-23 20:33:33)
Offline
Ten guru, może sam przyrządził CTB-lockera dla dziewczyny, żeby jej potem wiedzą szpanować, i poderwać przy okazji?
Jak to diabelstwo poszyfruje pliki, to pozamiatane.
Lepiej jakąś potezę ACl czy Sandbox zrobić, żeby pierdolone ąmiecie trzymać z daleka od ważnych danych.
I przy okazji, zakażać używania Outlooka, a w Thunderbirdzie zablokować działanie wtyczek typu java.
W ogóle nie czaję, po co ludzie javę na kompach trzymają, ja javy już ze 2-3 lata nie mam, i jakoś żyję jeszcze. :D
EDIT:
Rzuć okiem na ten koment:
https://niebezpiecznik.pl/post/zainfekowal-cie-cryp … omment-518299
Tu masz sposób na przyszłość:
http://www.howtogeek.com/195381/ensure-a-windows-pc … applications/
Ostatnio edytowany przez Jacekalex (2016-03-23 22:09:35)
Offline
Po co javę trzymają? Bo owa Pani pracuje w placówce oświatowej i tam muszą używać aplikacji która bez javy nie zadziała.
Offline
guzzi napisał(-a):
Po co javę trzymają? Bo owa Pani pracuje w placówce oświatowej i tam muszą używać aplikacji która bez javy nie zadziała.
To może przepis z tym child kontem w Windows pomoże?
Sznurek masz tam gdzieś wyżej.
Od wersji 7 chyba jest coś takiego, konto dla dzidzi, z listą dozwolonych programów.
Wtedy Javę odpali, Outlooka odpali, ale nieznanych binarek, których nie ma na liście, już niekoniecznie.
Co do zaszyfrowanych plików, to jeśli są szyfrowane 128 bitowym kluczem RSA, to to jest do złamania, o ile wyczeszesz z wirusa klucz publiczny.
W protokole RSA minimalna uznawana za bezpieczną długość klucza RSA to 2048 bit, czyli 16 razy więcej, niż ma ten wirus.
Np w SSH - ssh-keygen pozwala wygenerować RSA 16384 bity, w GnuPG maks 4096 bit.
Offline