scif_yar: (Default)
Не на что тут смотреть
Read more... )
scif_yar: (Default)
Вот новый вирус (точнее два - но Роснефть и Башнефть пока молчат).
Походу рассказов выясняется
1. Антивирусы - Eset, Kasper и прочие - опять отсосали, как и в случае Wanna Crye.
Привет традиционным антивирусам. Интересно как отработала Palo Alto TRAPS и Check Point

2. Вирус начал традиционно - с почтовых рассылок. Не все оказывается используют SRP + правила на почте, чтобы бинарники не просачивались.

3. Вирус, походу, использует все актуальные дыры - SMB (Eternal Blue), локальные повышения до админа, попытки перехвата хеша админского пароля (mimikatz), и вполне возможно - атаку перебором и по словарю.

4. Вполне вероятно, но не подтверждено, что вирус мог жить до активации довольно долго в системе. Стало быть, мог быть и кейлоггером, и ловить попутно хеши, и много чего еще.

5. В массах не используется не просто сегментирование сети (vlan), а микросегментирование (pvlan).

6. Софт из нихрена не проверяемых источников - мадок, консультант/NormaCS/Строительный эксперт» («ТУРБО сметчик»), прочая - должен жить в своей, наглухо нахуй изолированной песочнице.

7. Офсайт/офлайн бекап (читай кассеты) и изоляция системы резервного копирования (выделенные LUN с правами NTFS\ReFS для специальной локальной УЗ бекапилки) должны стать нормой жизни. Ну, или как-то еще ограничивать права на запись. (Подумав) Вплоть до пересоздания шары\искази диска с тем же именем скриптом по расписанию на изолированном сервере.
Собственно кое какие зловреды УЖЕ ищут и шифруют файлы именно бекапов.

8. Вовни конечно пишет дичь, но кое-что по осколочным его знаниям внедрять надо - например, если у вас не отключены локальные пользователи, то
Local Administrator Password Solution
https://technet.microsoft.com/en-us/mt227395.aspx?f=255&MSPPError=-2147217396

UPD
https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire/

9. А про рынок труда я никак не напишу, ибо лень
UPD
http://pikabu.ru/story/pochemu_kapitalizm_luchshe_sotsializma_4201104

Уфффф

Jun. 24th, 2017 11:03 am
scif_yar: (Default)
Вынырнул с работы. Всю неделю не по 9 (плюс час туда-обратно дорога-11) часов, а по все 12-14.
Правда, пару раз отлично прогулялся по такой погоде, но остальное ..
нет времени даже читнуть что там bigfatcat19 отписал свежего.

Read more... )
scif_yar: (Default)
18 вещей, которые вы не должны делать с виртуальными машинами vSphere
https://www.veeam.com/ru/videos/18-things-vsphere-backups-9960.html
https://youtu.be/_Nk-3Oma0lM

https://habrahabr.ru/company/veeam/

Veeam Backup Free Edition для VMware и Hyper-V
Veeam ONE Free Edition для VMware и Hyper-V
Veeam Agent для Windows Free Edition
Veeam Agent для Linux Free Edition
Набор элементов Visio для VMware, Hyper-V и Veeam

https://habrahabr.ru/company/veeam/blog/329482/
scif_yar: (Default)
Конечно, Veritas net backup лютая ебанина.
Но.
Вот настройка его логов
https://www.veritas.com/support/en_US/article.000123864
и еще чутка https://www.veritas.com/support/en_US/article.TECH77790

Так вот, на уровне 5 он пишет каждый чих и каждый пук, и из логов даже можно понять - что при ошибке

VMWare backup error: Error opening the snapshot disks using given transport mode: Status 23
https://www.veritas.com/support/en_US/article.000018563

VMware vStorage backups failing with status 23 error opening snapshot disk using given transport mode.
https://www.veritas.com/support/en_US/article.000008113

он действительно полез в темпы и там обосрался -
The problematic VM can be found by UUID or by opening any subfolders to find the problem guest VM. You will find a file with the vmdk name in one of the subfolder.
Remove the parent folder for that guest VM.

Без этого .. анрил.
Не то чтоб совсем анрил - есть сисинтерналс, конечно

Profile

scif_yar: (Default)
scif_yar

July 2017

S M T W T F S
       1
23 4 5 67 8
9 10 1112 13 14 15
16 17 18 19 20 21 22
2324 25 26272829
3031     

Syndicate

RSS Atom

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 27th, 2017 06:40 am
Powered by Dreamwidth Studios