Aktywne Wpisy
baton967 +5
#przegryw co robita o 3 w nocy chuopy?
Ave2 +4
Tez was skreca z zenady gdy widzicie "sportowe" samochody na miescie? Do miasta sa auta miejskie,a nie m3. Tak samo jak ktos chodzi w butach narciarskich, bo drogie. Nie czujecie tego zazenowania? Kolejny gimnazjalny trend to motocykle ktore maja 1l pojemnosci I pelne owiewki? Serio? Jezdzicie tym po drogach, a wygladacie jak na motogp. Rozumiem 125ccm w pelnych owiewkach, bo tam chodzi o spalanie I rekompensowanie niskiej mocy, ale wieksze pojemnosci to
Aktywne Znaleziska
Mireczki, może uda się Wam mi pomóc. Od której strony mógł nastąpić atak? Na jednym serwerze, jest udostępniony folder, do którego mają dostęp tylko użytkownicy domenowi, dzisiaj odkryłem, że część danych, ta dostępna dla wszystkich (w domenie) jest zaszyfrowana. Wirus zostawił tylko jeden własny plik (*.txt) z którego wynika, że został utworzony przez konto nazwadomeny/marketing - konto ma dodane mapowanie dysku wspólnego przy starcie, tylko, że marketingu w firmie już dawno nie ma i nie było za mojej kadencji, konto wisiało niepotrzebnie włączone na liście użytkowników w AD. Sprawdziłem wszystkie komputery i serwery w firmie, nie są zainfekowane, zresztą każdy komputer który ma aktualizacje od lipca 2019 wychwyciłby to zagrożenie i je wyłączył (wirus dość stary). Myślałem, że może, ktoś wyciągnął jakiś stary komputer bez aktualizacji/AV i zalogował się, ale utrata relacji zaufania domeny nie pozwoliłyby na to, sprawdziłem historię logowań do domeny, niestety zdziwiłem się, bo logi mają tylko marne 24h (zabrakło 2h logów, porównując do daty zaszyfrowanego pliku) Konto nie zalogowało się nigdy na żaden z innych serwerów, serwery schowane za SSL VPN i dopuszczają przez RDP tylko autoryzowane loginy. Aktualizacje przed atakiem były robione pod koniec listopada, nie miały jeszcze grudniowej kumulacji. Same dane szybko odzyskałem z kopii zapasowej, jednak nie daje mi spokoju, brak wiedzy o sposobie ataku.
- segmentacja sieci dla biura/serwerow. Biuro to siec A, serwery to siec B, na styku ustawic logowanie pakietow i bys mogl przynajmniej miec ip src kto w tym czasie zainicjowal ruch na ten serwer
- netflow, jak switche wspieraja, by pokazal to samo co pkt.1 a nawet lepiej bo bys wstanie byl zobaczyc cos z czym gada w tej samej sieci.
Komentarz usunięty przez moderatora