ببخشید بین حرفتون،گفتین که ویندوز سرور رو آپدیت کنین.من میزنم چک آپدیت اما الان یه ربعه داره چک میکنه.اینقدر طول میکشه؟
نمایش نسخه قابل چاپ
ببخشید بین حرفتون،گفتین که ویندوز سرور رو آپدیت کنین.من میزنم چک آپدیت اما الان یه ربعه داره چک میکنه.اینقدر طول میکشه؟
با سلام . دوست عزیز متاسفانه باید قید 50 فایلی که گفتید رو بزنید ، چون فکر کنم دیگه کامل داغون شدن رفت!نقل قول:
نوشته اصلی توسط hdland
اما با اینحال یه راه داره و اونم همون هست که دوستمون mizban97 گفتن . باید یک متخصص سورس و رمزنگاری پیدا کنید و بدید فایل هاتون رو رمزنگاری کنه . در حال حاضر از راهکار های ارائه شده توسط من و دیگر دوستان استفاده کنید . توضیحات تکمیلی در پست های صفحات قبلی همین تاپیک آورده شده .
ضمنا به عنوان یه دوست بهتون پیشنهاد میکنم که همیشه از اطلاعاتتون بک آپ داشته باشید تا در اینجور مواقع به مشکل برخورد نکنید ...
بله درست هست یه خورده زمان بر هست چون ویندوز شما بسیار قدیمی هست داره کل آپدیت ها رو دریافت میکنه.:">نقل قول:
نوشته اصلی توسط 1993
بنظرم دیگه سروری مشکل ساز نشه ، آیا توی 12 ساعت گذشته سروری مجدد به مشکل خورده؟
بله ، معمولا یه مقدار طول میکشه . مخصوصا اگر نسخه ویندوز سرورتون قدیمی باشه و یا اینکه شما همیشه در حال بروز رسانی سیستم خودتون نبوده باشید . معمولا کاربرانی که مدت زمان زیادی هست که نسخه ویندوز سرورشون رو بروز رسانی نکردن ، برای بروز رسانی باید صبر و حوصله بیشتری به خرج بدن ...نقل قول:
نوشته اصلی توسط 1993
ما که الان بیش از 24 ساعت هست آنلاین هستیم.نقل قول:
نوشته اصلی توسط meysam021
ویندوز ها رو آپدیت کردیم تا الان مشکلی نبوده و مورد دیگری گزارش نشده است.
ولی حتما 100% ویندوز ها و موارد امنیتی را رعایت کنید چون ممکن هست دوباره این حمله انجام بشه.
با تشکر
منم شخصا با نظر شما موافق هستم اما با اینحال هنوز هم ویروس در حال انتشار هست ...نقل قول:
نوشته اصلی توسط meysam021
بحث در انجمن های امنیتی و هک در مورد موضوع بالا گرفته . احتمال اینکه یه گروه دیگه بیاد و راه حلی برای حل مشکل ارائه بده هست . بیاید امیدوار باشید یه گروه هکر که دقیقا دشمن nsa هستن پیدا بشن و به صورت داوطلبانه راه حل رمزنگاری فایل های سرور ها رو ارائه بدن ...
ما اکثر ویندوزهایی که دادیم دست مشتری پورت ریموتشون رو تغییر دادیم ، اون هیچ مشکلی نداشتند ، فقط دو سه مورد بودن که پورتشون دیفالت بودن اون آلوده شدند.نقل قول:
نوشته اصلی توسط mizban97
این حمله مطمئن باشید الکی نبوده دست خود مایکروسافت هم توش بوده .
اطلاعات خیلی از کاربران تو دنیا نابود شده ، ایران تنها نیست ، بخوای با خود مایکروسافت حرف بزنی میگه سریال نامبر داری ، میگی نه ، میگه پس حقته
دلم به حال کسایی میسوزه که زحمت چندسالشون به باد رفت.
تسلیت هاستینگ ایران
دوستان گرامی اصلا جای نگرانی نیست
فقط کافیه اصول اولیه و رعایت بفرمایید
اگر سرویس دهنده هستید می تونید برای سرورهای مهم فعلا snapshot تهیه کنید
نهایتا خیلی استرس داشتید ریموت و غیر فعال کنید
با کمی تمرکز متوجه خواهید شد که راه حل های بسیاری موجود داره
موفق باشید
دوست عزیز چه طور جای نگرانی نیست!؟ شما و سایر دوستان ارائه دهنده شاید براتون مهم نباشه و نهایتا مشتری ها به کارشون ادامه میدن .. اما مصرف کننده و وبمستر تمام اطلاعاتش روهواست چه طور نگرانن نباشه ؟!نقل قول:
نوشته اصلی توسط viasky
قرباننقل قول:
نوشته اصلی توسط novin-web
بنده سرور لایسنس دار دارم با پورت دیفالت آپدیت قدیمی هیچ مشکلی نبوده ، این مورد روی سرورهایی که کرک شدن پیش اومده ، من خودم شخصا دیدم ، آپدیت برای قدیم پورت همه چی دیفالت
سرور بغلیش آلوده شده بود ، این که لایسنس داشت آلوده نشده بود روی یک رنچ فرقشون توی رقم آخر آی پی بود.
کرنال ضعف امنتی داره ولی احتمال نمیره که با تغییر دادن پورت بتونن کاری انجام بدن.
البته چیزی هست که میبنیم ، و عرض کردم ، ولی حرف شما هم قابل احترامه و تایید میشه
نه این که همینجوری راهش کنید به امیدخدانقل قول:
نوشته اصلی توسط hdland
عرض کردم مواردی که اعلام شده و انجام بدید مشکلی پیش نخواهد آمد
قابل توجه دوستان ، اون دسته از وبمسترانی که هنوز سرورهاشون آلوده نشده ، میتونن با بروزرسانی کردن سیستم عامل ، نصب آنتی ویروس و در نهایت تغییر پورت ، تا حد زیادی از پیش اومدن مشکل جلوگیری کنن . دوستانی هم که سرورهاشون آلوده شده ، فعلا باید صبر کنن و حتی المقدور از نسخه بک آپ استفاده کنن . راه دیگه هم این هست که دیکدر استخدام کنید براتون فایل ها رو رمزنگاری کنه!
اینطور که به نظر میاد این موضوع بیشتر شبیه به یک جور توطئه میمونه ...
کسانی که فایل هاشون انکریپت شده به امید پچ و راه حل مایکروسافت نباشند، یا باید به ایمیل اعلام شده پول بدهند و privacy key رو بگیرند یا باید فایل ها را ریکاوری کنند، decryption کردن AES هم بدون کلید تقریبا کار غیرممکن است!! پس وقت خود را صرف پیدا کردن هکر یا صرف هزینه برای decryption نکنید، چون اگر aes به این راحتی شکسته یا key پیدا می شد الان مشکلات بزرگتری داشتیم! یک toolkits از expolit های nsa که توسط shadow brokers ***یده شده بود، داخل نت پخش شده که شما هم در عرض 5 دقیقه میتوانید به ویندوز سرور هرکسی remote exploit کنید، حالا چندتا خدانشناس رنج آیپی های بعضی از دیتاسنتر های معروف را با این toolkit هدف قرار دادند و با انکریپت کردن فایل ها باجگیری میکنند.
- - - Updated - - -
expolit که ویندوز سرور ها هدف قرار داده شده :
ETERNALROMANCE is a SMB1 exploit over TCP port 445 which targets XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2, and gives SYSTEM privileges (MS17-010)
لیست expolit و دانلود toolkits که با وارد کردن آیپی هدف به راحتی ریموت خواهید شد :
https://github.com/misterch0c/shadow...master/windows
دوستان همه مدل سرور الوده شده .. لایسنس دار و بی لایسنس ... وقتی یک مشکل جهانی است و nsa در ان دخیل است بدونید خیلی قضیه بدتر از این حرف هاست.
من یه سرور اختصاصی از آقای امیر حسینی دارم که یه ویندوز 2008 رو نصبه
یادمه همون اول که گرفتم پورت 3389 بلاک شد
هر کاری کردم پورت باز نمیشد
نظر شخصی من اینه فایروال های خود دیتاسنتر پورت هایی که بهشون اتک میخوره بلاک میکنن
من هم پورت رو خیلی ساده عوض کردم و ریموت دسکتاپ رو راه انداختم
در ضمن من فایل های مهمی که روی سرور دارم همشون روی گوگل درایو بک آپ هستن یک بار یه وی پی اس از یه احمقی گرفتیم یادمه سرور رو توی سایتش ثبت نکرد و ایمیل چیزی فاکتوری هیچی برای ما صادر نکرد بعد هم وی پی اس رو پاک. کرد اطلاعات ماواز بین رفت از اون به بعد یاد گزفتم اطلاعات مهم رو بریزم روی گوگل درایو
بله ، سخنان جناب T.Toosi کاملا درست هست . همچنین مشکل هم در تمامی دنیا همه گیز شده و روی انواع سرور ها در حال انتشار و گسترش هست ...
در راستای پست دوستمون T.Toosi ، با مطالعه مطلبی که در پستشون پیوست کردن ، به این موارد بر میخورید :
1 ) به ایمیلی که اعلام شده مبلغی پرداخت نکنید ، چرا که ممکنه خود این کار خطرناک تر باشه و حساب بانکی شما رو هک کنن . همچنین احتمال دیگه ای که وجود داره این هست که هکر پول هنگفتی رو از شما میگیره و در نهایت چیزی هم به شما تحویل نمیشه . اینطوری فقط به اخازی ادامه میده .
2 ) یکی از راه حل های موجود این هست که از اطلاعات رمز نگاری شده بک آپ تهیه کنید و بعد سیستم عامل سرور خودتون رو از اول نصب کنید ( لینک دانلود نسخه های مختلف ویندوز سرور رو شخصا در همین تاپیک گذاشتم ، در صفحات قبلی جستجو کنید ) .
در حال حاضر بعضی گروه های هکر های کلاه سفید و همچنین آزمایشگاه امنیتی برخی شرکت ها در حال کار روی موضوع هستن . راه حلی هم در لینک داده شده که در صورت امکان ترجمه میشه و در اختیار دوستان قرار میگیره .
اینا ربطی به مشکل بانک ملت نداشته باشه ؟!نقل قول:
هکرهای موسوم به کارگزاران سایه / Shadow Brokers اسنادی از NSA منتشر کردند که نشان میدهد دولت آمریکا مستقیماً در هک سیستمهای بانکی خاورمیانه که با سوئیفت کار میکردند، نقش داشته است.
به گزارش خبرآنلاین، یکی از ابزارهای بکار رفته به نام BARGLEE برای دور زدن فایروالهای سوئیفت روی سوئیچهای سیسکو بکار رفته است و آژانس امنیت ملی توانسته است از این طریق سیستمهای بانکی را دور بزنند.
دریکی از اسناد لورفته پاورپوینتی وجود دارد که نشان میدهد آمریکا سیستم کامپیوتری EastNets در دبی را هک کرده و تمام نقل و انتقالات مالی آن را مانیتور کرده است.
بیش از 11 هزار بانک در جهان به شبکه سوئیفت وصل بوده و برای انتقال پول از یک کشور به کشور دیگر از سیستم سوئیفت استفاده میکنند.
فهرست ابزارهای هکری برای نفوذ به سیستمهای بانکی در خاورمیانه و بکار رفته توسط هکرهای حکومتی آمریکا به شرح زیر است:
ETERNALROMANCE - Remote privilege escalation (SYSTEM) exploit (Windows XP to Windows 2008 over TCP port 445)دیتاسنتر NSA در یوتا که عملیات هکری از آنجا انجام شده است
ENTERNALCHAMPION, ETERNALSYSTEM - Remote exploit up to Windows 8 and 2012
ETERNALBLUE - Remote Exploit via SMB & NBT (Windows XP to Windows 2012)
EXPLODINGCAN - Remote IIS 6.0 exploit for Windows 2003
EWORKFRENZY - Lotus Domino 6.5.4 and 7.0.2 exploit
ETERNALSYNERGY - Windows 8 and Windows Server 2012
FUZZBUNCH - Exploit Framework (Similar to Metasploit) for the exploits.
Esteemaudit-2.1.0.exe- a Remote Desktop exploit that installs an implant on Windows Server 2003 and XP
Eternalchampion-2.0.0.exe-which also works against SMB
Eskimoroll-1.1.1.exe- a Kerberos attack targeting domain controllers running Windows Server 2000, 2003, 2008 and 2008 R2
Eternalromance-1.3.0.exe- Eternalromance-1.4.0.exe
Eternalsynergy-1.0.1.exe- a remote code-execution attack against SMBv3
http://images.khabaronline.ir//image...r%20system.jpg
سلامنقل قول:
نوشته اصلی توسط JahanSoft
لطفا در مورد چیزی که نمیدونید یا تخصص ندارید اظهار نظر نکنید امنیت هیچ چیز 100% نیست
موفق باشید
در ابعاد وسیع حتی ممکنه هست باگ بر روی یک پروتکل یا یک لایحه به وجود بیاد و تیم امنیتی یک کشور یا چندین کشور برای برطرف سازی مشکل و بازگشت امنیت محتد خواهند شد
بالاترین امنیت در اختیار ارتش امریکاست که اونم همیشه درخطره
بحث ویندوز شوخی به حساب میاد در اون سطح
لطفا نظرات شخصی خودتون و درگیر مشکلات پیش آمده نکنید و اجازه بدید موضوع هدفمند پیش بره
تشکر
دوستان راه حلی اگه پیدا شد برای فایلهای رمزگذاری شده اطلاع بدید.
سلامنقل قول:
نوشته اصلی توسط ali1150
فعلا راه حلی به جز توضیحاتی که دوستان دادن بیشتر نیست در صورتی که راه حلی پیدا شد در تایپیک قرار خواهد گرفت
سرور هایی که من دیدم آلوده شدن ، درست بشو نیست ، کلا داغون شدن
بنده تا الان هر موردی که مشاهده کردم در تمام سرورها 2 نکته مشترک بودهنقل قول:
نوشته اصلی توسط meysam021
1. فعال بودن iis
2. ایجاد شدن حساب کاربری با نام asp.net یا asp.net2
تا الان حدود 15 تا از سرورهای همکاران عزیز و بررسی کردم این دو مورد در بیشتر سرورها مشترک بود
بیشتر مورد اول است.نقل قول:
نوشته اصلی توسط viasky
احتمالا .net4 موثر است نه ASP.net
بنده در حال بررسی هستمنقل قول:
نوشته اصلی توسط pardishosting
ظاهرا نفود هم از طریق ادمین نیست و به همین روش که یک حساب کاربری داره ایجاد میشه و احتمال هم میدم به یک نام باشه در همه حال
که نهایتا توسط iis داره این دور زدن صورت میگیره
البته هنوز مطمئن نیستم
ولی اگر نتیجه نهایی شد به راحتی میشه حساب کاربری و و ایجاد و غیرفعال کرد یا دسترسی و محدود کرد و در نتیجه جلوی ورود و میگیره
یعنی اون عزیز با باگ حسابی و فعال میکنه که از قبل مهار شده
- - - Updated - - -
25 مورد بررسی شد
حساب کاربری مشترک در تمام سرورها:
ASP.NET2
درودنقل قول:
نوشته اصلی توسط viasky
من از شما سرور دارم و دو روز قبل که به سرور وصل بودم و البته استفاده هم نمیکردم متوجه شدم log off شده و در بین نام های کاربری متوجه نام کاربری که ایجاد نکرده بودم با نام asp.net2 یا asp.net4 هست (درست خاطرم نیست ) که بلافاصله اون را حذف کردم و سرور الان هم مشکلی نداره البته دیروز چند ساعتی شما سرور را خودتان گویا خاموش کرده بودید
خب درسته حساب کاربری ها رو میشه غیرفعال کرد اما راه نفوذ هنوز باز هست و دوباره میتونن وارد بشن و بسازن اون رونقل قول:
نوشته اصلی توسط viasky
همونطور که گفتید از طریق باگی که در یکی از رول هایی که در سرور وجود داره احتمال میره جهت دور زدن و آلوده کردن سرور ها استفاده میکنن
بر روی سرور من هیچ نام کاربری جدیدی اضافه نشده اما سیستم آلوده شده است . به نظر دوستان ایا امکان پیدا شدن راه حل و یا کشف کلید استفاده شده برای دیکریپت کردن وجود دارد یا بی خیال اطلاعات موجود شده و مجدد ویندوز نصب کنم؟
سرور هایی که ما دیدیم حدودا 10 تا - اکثرا تک کاربره بودند و اصلا چیزی هم اضافه نشده.
اگر توانایی داشت که حساب های دلخواه ایجاد کنه تمام یوزرهای ایجاد شده مثل هم نبودنقل قول:
نوشته اصلی توسط bluehost
دو مورد هست
net Framwork.
IIS
پس باید یک احتمال داد که فقط می تونه این دو حساب و ایجاد کنه
و باز هم به نسخه framwok شما بستگی داره که IIS داره باهاش کار میکنه
اگر 4 فعال باشه هم 2 ایجاد میشه هم 4
اگر 2 باشه فقط یک حساب 2 ایجاد می کنه
که اگر شما ایجاد کرده باشی خودت و محدود کرده باشی
احتمال اینکه نتونه این کار و مجدد انجام بده خیلی بالاست از نظر من
چون در اون سطح دسترسی نداره و البته ممکنه مثل Backdoor هم عمل کنه
یعنی با این حساب به صورت backdoor وصل میشه ( برای مثال)
پس از هرجهت نگاه کنیم به نظر من اگر ممکنه باشه یک محدودیتی روی حساب ها ایجاد کرد
برای مثال نصب AD و فقط مجوز یک یوزر به صورت کلی صادر بشه
اجازه ورود و باز هم میگیره
البته تمام این موارد و بر اساس این فرض عرض میکنم که ورود اون دوست محترم و گرامی و عزیز وابسته به حساب کاربری باشه
- - - Updated - - -
لطفا لاگ و بررسی کنید شاید ایجاد شده و مجدد حذف شدهنقل قول:
نوشته اصلی توسط pardishosting
لطفا بررسی کنید مورد مشکوکی بود بفرمایید
دوستان این خطر فقط ویندوزهای سرور رو تهدید میکنه یا اینکه ویندوزهای خانگی هم مورد هدف هستند؟
روی سرور شما iis فعال بود؟نقل قول:
نوشته اصلی توسط s_s_sos2003
- - - Updated - - -
هکر بررسی میکنه اگر فایل مهمی نداشته باشید ممکنه بگذره از ادامه کار و سرور و رها کنهنقل قول:
نوشته اصلی توسط iraniam2000
چون هدف باج افزار هست و وقتی حجم سرورها بالا باشه از سرویس هایی که از نظر اون به درد نمیخوره گذشت میکنه
سلام به همه دوستان گرامی
متاسفانه سرور شخصی ما هم دچار همین مشکل شده. فقط از دوستان یک سوال دارم ، ایا شما توی سرورهاتون چیزی بعنوان .key پیدا کردید؟ این کلید اگر پیدا بشه میشه فایلها رو برگردوند
والله بکاب ده تا سایت و کلی اطلاعات روی سرور هست حالا شاید از نظر اون به دردنخور بوده ولی کلا زیادی از اندازه به دردبخور هست اطلاعات روی سرور و اگر خودش دست نزده که واقعا دستش درد نکنه اگه آدرس تماسی دارید بدید برم تشکر کنم ازشون :65:نقل قول:
نوشته اصلی توسط viasky
کلا دو سه ثانیه بعد از اتفاقی که افتاد اکانت نا آشنا را حذف کردم
سوال اینجاست :
آیا فقط نصب پچ ها و به روز بودن ویندوز میتونه کافی باشه برای جلوگیری از آلوده شدن به این باج افزار ؟؟
ایا کسی از دوستان هست که علیرغم به روز بودن ویندوزش از همه اپدیت ها باز هم آلوده شده باشه ؟
من فکر می کنم iis خیلی موثر باشه چون از طریق iis میشه اسکن کرد وضیعت سرور رو و تشخیص داد ویندوز بودن سرور و ...
چون فایروال روشن باشه ip پینگ نداره که بشه سیستم فعال رو تشخیص داد.
اطلاعات مهم دارید هماهنگ کنید بنده براتون رایگان بک آپ تهیه می کنمنقل قول:
نوشته اصلی توسط iraniam2000
بله از نظر اون به درد نخورده ظاهرا یا به چشم نیومده...
لطفا موارد امنیتی و پیگیری بفرمایید کامل
موفق باشید
سلامنقل قول:
نوشته اصلی توسط Gh-Moradi
فعلا ویندوز سرور های 2008 و 2012 مورد حمله قرار گرفته
ممنوننقل قول:
نوشته اصلی توسط viasky
همان دیروز که سرور در دسترس قرار گرفت بلافاصله آنتی ویروس نصب کردم و برای بکاب هم چون سرور اختصاصی دارم بلافاصله بکاب برداشتم ضمنا همانطور که گفتید iis هم فعال هست البته چون از سرور گاهی برای دانلود شخصی استفاده میکنم فعال کردم ولی به هر صورت فعال هست
خدا را شکر الان سرور و اطلاعاتش سالم هستند