Re: [Techinfo] kodolos "mocsok"
A mai állás: kb 80 gigányi adat maradt meg a szerveren a kb. 400-ból. A rendszerpartíciót ebbe nem számoltam bele. A 3 kérdéses HP IP cím az aruba switcheké volt, így most a hétvégén bekapcsolva nem volt gép. Így már legalább ennek a 3-nak sem kell a címét keressem :) A szerveren végig kergettem több féregkeresőt, ill. az eset online scannerét is, de nem talált semmit. Egyébként a titkosítottakat listázva olyan éjféltől fél4-ig tevékenykedett. Kitöröltem minden .crypted filet. Éjszakára magamnál bekapcsolva hagytam, de reggelre sem gondolta úgy, hogy pénzt követel. Az irodai gépeken indítottam keresést *.crypt fájlokra, de nulla találattal. Ezért jó eséllyel az a gyanúm, nem innen eredt. Ha innen eredt volna, miért hagyta békén a localt? A szerver nyalta volna be RDP-n keresztül? Mondjuk ezt erősítheti az is, hogy rendesen hazavágta a rendszerpartíciót, nemtom a c$ megosztáson keresztül is megtalálta volna, vagy azokat nem érzékeli. Ebből viszont adódik pár kérdés: Miért nem találtam egyik keresővel sem? Amit meghagyott, azt miért tette? Ugyanolyan típusú anyag mint amit "felfalt". Mondjuk nem haragszom, hogy az legalább megmaradt :) Miért nem kezdett el pénzt követelni? A sérülékenység fennáll ha másik porton csücsül a szerverem és nem a default 3389-esen? A régi munkahelyemen közvetlenül a desktop gépem volt kilógatva és RDP-vel értem el. Több évig semmi para nem volt. Ezt most én lógattam ki ismét, mert a kifü-s ip cím váltás óta nem kötötték rá, előtte ment RDP-el. Igaz a desktopos gépen eset volt, igaz nem nézegettem a logját, de nekem nem tűnt fel sosem, hogy próbálkoztak volna. Ezek után ki merjem-e lógatni, vagy sürgős gyorsasággal kössem le az RDP-ről? Most így első blikkre itt tartok, még hátra van 2 NAS elemzése, az egyiken már pénteken láttam, hogy "intézkedett", a másikra leszek főleg kíváncsi hátha megúszta és azon mintha láttam volna backupokat, de az rémlik eléggé régiek voltak. Pár hete néztem rá, örültem, hogy beengedett és nem kellett jelszavakat keresnem hozzá, úgy voltam vele, majd ha odaérek a dologgal, rendet teszek ott is. Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok"
Kiss Zsolt ezt írta (időpont: 2021. ápr. 11., V, 23:33): > > > Meg még a vas kérdése. Az MS-nek könnyebb vinyót cserélni egy szerverben, > mint nekem J Ott nem kell várni a kötvállra J > > > No igen, ezt tényleg nem lehet helyben megoldani ;o) Ettől függetlenül, szerintem a Proxmoxot nézd meg, ha időd engedi! Ahogy Tiba Csaba is írta, alapdolgokhoz nem kell nagy Linux ismeret. Nem bonyolultabb, mint egy Windows telepítés, meg a VirtualBox, vagy bármi más virtuálisgép-kezelő. Ha meg elakadnál, többen vagyunk már itt, akik használjuk, segítünk. Üdv, Venczel József ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok"
A nincs neten azért nem aggódom, mert a fontos és gyakran használt fájlokról volna local tükörmásolat is. Ha jól állítjuk be mi legyen meg helyben is, akkor egész jól össze lehet ezt hozni. És akkor még ott van az a nagy előny, hogy otthonról is sokkal könnyebb dolgozni. A mostani covidos időkben az irodistának is, de a pedagógusok egyébként is sokszor otthon készülnek. Így az efopos gépükkel nem kell bejönni a suliba, otthon is látják. Jó VPN-el megoldható sokminden (akarok én is, pl. KMS elérés), de annak is ott van az az eset, mi van ha nincs net J A fő gond a nincs nettel inkább az, ha a tanker küld valamit, arról mardunk le… J Meg még a vas kérdése. Az MS-nek könnyebb vinyót cserélni egy szerverben, mint nekem J Ott nem kell várni a kötvállra J Zsolt From: techinfo-boun...@lista.sulinet.hu On Behalf Of József Venczel Sent: Sunday, April 11, 2021 11:10 PM To: Techinfo Subject: Re: [Techinfo] kodolos "mocsok" Szerintem teljesen jól gondolkodsz, nincs vele semmi hiba, csak az igazsághoz az is hozzátartozik, hogy ezeket a funkciókat meg tudod valósítani helyi szerveren is. Nálam pl. naponta készül a virtgépekről snapshot a ZFS-en. Ebben pl. az a jó, hogy nem látják a vírusok. Tehát bármikor simán vissza lehet állítani róla a gépek tartalmát és csak egy napi munka veszett el. Elvileg. Mert még nem volt szükségem rá, szerencsére. Csak arra használtam, hogy egy-egy véletlenül törölt mappát visszaállítsak a kollégáknak. Nekem is tetszik nagyon a felhősdi, csak mindig azon aggódom, hogy mi van, ha nincs net. Egy helyi szervert akkor is elérnek a kollégák, de az internetet nem. Nem újság, de teljesen hülye vagyok! Ha Hyper-V -vel csinálod a virtualizálást, akkor kimaradhat a Windows telepítés a virtgépre, mert a Windows fel tudja csatolni a Hyper-V lemezképfájljait. Tehát elég csak hozzáadni akkora lemezt, amekkora kell és Clonezillával rámásolni a dolgokat. Máris van egy lemezképed, amit olvas a Win. Üdv, Venczel József Kiss Zsolt mailto:r...@hb.edu.hu> > ezt írta (időpont: 2021. ápr. 11., V, 21:58): Jelenleg ez a Windows szerver gyakorlatilag csak fileszerver funkciókat látott el, semmi mást. Én most azon gondolkozom, kiváltom az egészet és feltolom az ingyenes MS felhőbe sharepoint alá. Előny: - a tárhelyet bármikor vissza tudom állítani korábbi állapotba, ha valakinél támadás van és felszinkronizálja a kódolt fájlokat. - meghal a vas, nem nekem kell bajlódni a pótlásával, ami klikkes berkekben nem is mindig egyszerű. Én csak használom, konfigolom, a többit megoldják MS-nél hátrány: több helyi gépen is vannak helyi szinkronizált másolatok. De mivel általában elfér a vinyón, így annyira nem zavar. Ha nem férne el, lehet válogatni mi szinkronizálódjon, ill. talán automatán is tudja kezelni, hogy akkor tölti le ha kell. Tud valaki ezek mellé sorakoztatni érveket, illetve főleg ellenérveket, miért ne tegyem meg? Ebben gondolkodtam egyébként is, de ha már így jártam, akkor mi akadálya van annak, hogy ne tegyem akkor meg most. A kódolós vírus miatt a biztonsági másolat sem olyan egyszerű, mert nem lehet egyszerűen ütemezetten letükrözni mondjuk éjjel a változásokat, mert ha kódol, akkor bementem a kódoltat. Mondjuk minden nap máshová kellene menteni a hét napjain és akkor lenne 7 másolat. Remélhetőleg azért 1 héten belül észrevesszük, még ha szünet van azért akkor is. Zsolt From: techinfo-boun...@lista.sulinet.hu <mailto:techinfo-boun...@lista.sulinet.hu> mailto:techinfo-boun...@lista.sulinet.hu> > On Behalf Of Tiba Csaba Sent: Sunday, April 11, 2021 8:49 PM To: Techinfo mailto:techinfo@lista.sulinet.hu> > Subject: Re: [Techinfo] kodolos "mocsok" A proxmox nem nagy dolog, és tudod rajta virtualizálni a windows szerveredet is. Minden egyéb másra is jól használható. De ha csak windows szervert használsz akkor annak látod azért a korlátait. Sokan vannak a csoportban, akik használják és megelégedéssel használják. Kevesebb szívás van vele, de mint mindennél itt is vannak néha gondok, az alapok nagyon egyszerűek, csak legyen vas amire felteszed. A kódolós mocsok ellen a legjobb, egy csomó visszaállítási pontod lehet és mivel ingyenes, nem kell annyit szívni, mintha windows alatt akarnál egy csomó mindent csinálni virtualizálva. A telepítése beállítása nem nehéz és meghálálja, ha van elég memória és HDD alatta (SSD). A linuxos dolgokat megtanulva pedig egy nagyszerű monitoring rendszert tudsz kiépíteni minden egyéb hiba kiszűrésére. NAGIOS, ZABBIX. Esetleg későbbiekre érdemes nézegetni: https://www.saashub.com/compare-appcheck-anti-ransomware-vs-proxmox-mail-gateway A proxmox alatt lehetne egy PFSENSE-t futtatni és azon keresztül kapcsolódna a windows server és akkor talán ezek a problémák egy része is szűrésre kerülne. Kasperskynek van virtualizációra való megoldása, de nem ismerem: https://www.kaspersky.com/small-to-medium-business-security/virtua
Re: [Techinfo] kodolos "mocsok"
Szerintem teljesen jól gondolkodsz, nincs vele semmi hiba, csak az igazsághoz az is hozzátartozik, hogy ezeket a funkciókat meg tudod valósítani helyi szerveren is. Nálam pl. naponta készül a virtgépekről snapshot a ZFS-en. Ebben pl. az a jó, hogy nem látják a vírusok. Tehát bármikor simán vissza lehet állítani róla a gépek tartalmát és csak egy napi munka veszett el. Elvileg. Mert még nem volt szükségem rá, szerencsére. Csak arra használtam, hogy egy-egy véletlenül törölt mappát visszaállítsak a kollégáknak. Nekem is tetszik nagyon a felhősdi, csak mindig azon aggódom, hogy mi van, ha nincs net. Egy helyi szervert akkor is elérnek a kollégák, de az internetet nem. Nem újság, de teljesen hülye vagyok! Ha Hyper-V -vel csinálod a virtualizálást, akkor kimaradhat a Windows telepítés a virtgépre, mert a Windows fel tudja csatolni a Hyper-V lemezképfájljait. Tehát elég csak hozzáadni akkora lemezt, amekkora kell és Clonezillával rámásolni a dolgokat. Máris van egy lemezképed, amit olvas a Win. Üdv, Venczel József Kiss Zsolt ezt írta (időpont: 2021. ápr. 11., V, 21:58): > Jelenleg ez a Windows szerver gyakorlatilag csak fileszerver funkciókat > látott el, semmi mást. > > Én most azon gondolkozom, kiváltom az egészet és feltolom az ingyenes MS > felhőbe sharepoint alá. > > > > Előny: > > - a tárhelyet bármikor vissza tudom állítani korábbi állapotba, ha > valakinél támadás van és felszinkronizálja a kódolt fájlokat. > > - meghal a vas, nem nekem kell bajlódni a pótlásával, ami klikkes > berkekben nem is mindig egyszerű. Én csak használom, konfigolom, a többit > megoldják MS-nél > > > > hátrány: több helyi gépen is vannak helyi szinkronizált másolatok. De > mivel általában elfér a vinyón, így annyira nem zavar. Ha nem férne el, > lehet válogatni mi szinkronizálódjon, ill. talán automatán is tudja > kezelni, hogy akkor tölti le ha kell. > > > > Tud valaki ezek mellé sorakoztatni érveket, illetve főleg ellenérveket, > miért ne tegyem meg? Ebben gondolkodtam egyébként is, de ha már így jártam, > akkor mi akadálya van annak, hogy ne tegyem akkor meg most. > > A kódolós vírus miatt a biztonsági másolat sem olyan egyszerű, mert nem > lehet egyszerűen ütemezetten letükrözni mondjuk éjjel a változásokat, mert > ha kódol, akkor bementem a kódoltat. Mondjuk minden nap máshová kellene > menteni a hét napjain és akkor lenne 7 másolat. Remélhetőleg azért 1 héten > belül észrevesszük, még ha szünet van azért akkor is. > > > > Zsolt > > > > *From:* techinfo-boun...@lista.sulinet.hu < > techinfo-boun...@lista.sulinet.hu> *On Behalf Of *Tiba Csaba > *Sent:* Sunday, April 11, 2021 8:49 PM > *To:* Techinfo > *Subject:* Re: [Techinfo] kodolos "mocsok" > > > > A proxmox nem nagy dolog, és tudod rajta virtualizálni a windows > szerveredet is. Minden egyéb másra is jól használható. De ha csak windows > szervert használsz akkor annak látod azért a korlátait. Sokan vannak a > csoportban, akik használják és megelégedéssel használják. Kevesebb szívás > van vele, de mint mindennél itt is vannak néha gondok, az alapok nagyon > egyszerűek, csak legyen vas amire felteszed. > > A kódolós mocsok ellen a legjobb, egy csomó visszaállítási pontod lehet és > mivel ingyenes, nem kell annyit szívni, mintha windows alatt akarnál egy > csomó mindent csinálni virtualizálva. A telepítése beállítása nem nehéz és > meghálálja, ha van elég memória és HDD alatta (SSD). A linuxos dolgokat > megtanulva pedig egy nagyszerű monitoring rendszert tudsz kiépíteni minden > egyéb hiba kiszűrésére. NAGIOS, ZABBIX. > > Esetleg későbbiekre érdemes nézegetni: > https://www.saashub.com/compare-appcheck-anti-ransomware-vs-proxmox-mail-gateway > > A proxmox alatt lehetne egy PFSENSE-t futtatni és azon keresztül > kapcsolódna a windows server és akkor talán ezek a problémák egy része is > szűrésre kerülne. > > Kasperskynek van virtualizációra való megoldása, de nem ismerem: > https://www.kaspersky.com/small-to-medium-business-security/virtualization-light-agent > > > > > > > > > > Tiba Csaba > > Szentendrei Református Gimnázium > > 2000. Szentendre, Áprily tér 5 > > > > > > Kiss Zsolt ezt írta (időpont: 2021. ápr. 11., V, 19:43): > > Nem rossz ötlet. Most sikerült bebootolnom itthon róla (a biztonság > kedvéért mindkét diszkről csináltam egy mentést, találtam egy USB-t > itthon), kergetek rajta pár irtót, eddig semmi lényegest nem talált. > > > > Valószínű ő csak áldozat lesz, de eléggé nagy áldozat, mert olyan gépről > eredhetett a fertőzés, ami rendszergazda joggal hozzá fért a szerverem > teljes tartalmához az adminisztratív rejtett megosztásokon keresztül. C > meghajtó is fullon kódolva, amit csak úgy tudott megtenni, ha ő a primer, &g
Re: [Techinfo] kodolos "mocsok"
RescueZilla Kiss Zsolt ezt írta (időpont: 2021. ápr. 11., V 21:03): > J > > > > Mivel tudom én ezt felmountolni Windows alatt, hogy bele tudjak nézni ha > szükséges? > > > > Zsolt > > > > *From:* techinfo-boun...@lista.sulinet.hu < > techinfo-boun...@lista.sulinet.hu> *On Behalf Of *Tiba Csaba > *Sent:* Sunday, April 11, 2021 10:19 AM > *To:* Techinfo > *Subject:* Re: [Techinfo] kodolos "mocsok" > > > > A clonezilla dd parancsot használ, lehetne live cd alatt parancsorban > paraméterezni, hogy hiba esetén se álljon le. > > > > Bármilyen linuxot tudsz használni erre a célra nem muszáj a clonezillát. > Goarted alatt tudsz grafikusan is mentést csinálni. Clonezillában is biztos > lehet valahogy paraméterezni. > > > > Kiss Zsolt ezt írta (időpont: 2021. ápr. 11., V 9:28): > > Nincs sok illúzióm a megmentést illetően. Mentés után ha hozzáférek > megnézem és jelentkezem. > > > > Zsolt > > > > *From:* techinfo-boun...@lista.sulinet.hu < > techinfo-boun...@lista.sulinet.hu> *On Behalf Of *Alaksza Balázs > *Sent:* Saturday, April 10, 2021 10:52 AM > *To:* techinfo@lista.sulinet.hu > *Subject:* Re: [Techinfo] kodolos "mocsok" > > > > 2021. 04. 09. 16:55 keltezéssel, Kiss Zsolt írta: > > Most nem emlékszem, a kiterjesztést cserélte le. > > > Meg kellene nézned, igazából ebben van a válasz az összes többi kérdésedre. > A módosult kiterjesztés alapján meg lesz melyik kártevő volt pontosan és > akkor az is, hogy hogyan sikerült beszerezni. > > A régebbieket sok vírusírtó felismeri és megoldja, sőt, némelyikhez van > visszafejtő program is(azért óriás reményeket ne fűzz hozzá, van olyan > program is ami valójában nem titkosít hanem random adatokkal "szennyezi" be > a fájlokat). > > > -- > > Alaksza Balázs > > ___ > Techinfo mailing list > Techinfo@lista.sulinet.hu > Fel- és leiratkozás: > http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo > Illemtan: http://www.szag.hu/illemtan.html > Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ > > ___ > Techinfo mailing list > Techinfo@lista.sulinet.hu > Fel- és leiratkozás: > http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo > Illemtan: http://www.szag.hu/illemtan.html > Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ > ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok"
Jelenleg ez a Windows szerver gyakorlatilag csak fileszerver funkciókat látott el, semmi mást. Én most azon gondolkozom, kiváltom az egészet és feltolom az ingyenes MS felhőbe sharepoint alá. Előny: - a tárhelyet bármikor vissza tudom állítani korábbi állapotba, ha valakinél támadás van és felszinkronizálja a kódolt fájlokat. - meghal a vas, nem nekem kell bajlódni a pótlásával, ami klikkes berkekben nem is mindig egyszerű. Én csak használom, konfigolom, a többit megoldják MS-nél hátrány: több helyi gépen is vannak helyi szinkronizált másolatok. De mivel általában elfér a vinyón, így annyira nem zavar. Ha nem férne el, lehet válogatni mi szinkronizálódjon, ill. talán automatán is tudja kezelni, hogy akkor tölti le ha kell. Tud valaki ezek mellé sorakoztatni érveket, illetve főleg ellenérveket, miért ne tegyem meg? Ebben gondolkodtam egyébként is, de ha már így jártam, akkor mi akadálya van annak, hogy ne tegyem akkor meg most. A kódolós vírus miatt a biztonsági másolat sem olyan egyszerű, mert nem lehet egyszerűen ütemezetten letükrözni mondjuk éjjel a változásokat, mert ha kódol, akkor bementem a kódoltat. Mondjuk minden nap máshová kellene menteni a hét napjain és akkor lenne 7 másolat. Remélhetőleg azért 1 héten belül észrevesszük, még ha szünet van azért akkor is. Zsolt From: techinfo-boun...@lista.sulinet.hu On Behalf Of Tiba Csaba Sent: Sunday, April 11, 2021 8:49 PM To: Techinfo Subject: Re: [Techinfo] kodolos "mocsok" A proxmox nem nagy dolog, és tudod rajta virtualizálni a windows szerveredet is. Minden egyéb másra is jól használható. De ha csak windows szervert használsz akkor annak látod azért a korlátait. Sokan vannak a csoportban, akik használják és megelégedéssel használják. Kevesebb szívás van vele, de mint mindennél itt is vannak néha gondok, az alapok nagyon egyszerűek, csak legyen vas amire felteszed. A kódolós mocsok ellen a legjobb, egy csomó visszaállítási pontod lehet és mivel ingyenes, nem kell annyit szívni, mintha windows alatt akarnál egy csomó mindent csinálni virtualizálva. A telepítése beállítása nem nehéz és meghálálja, ha van elég memória és HDD alatta (SSD). A linuxos dolgokat megtanulva pedig egy nagyszerű monitoring rendszert tudsz kiépíteni minden egyéb hiba kiszűrésére. NAGIOS, ZABBIX. Esetleg későbbiekre érdemes nézegetni: https://www.saashub.com/compare-appcheck-anti-ransomware-vs-proxmox-mail-gateway A proxmox alatt lehetne egy PFSENSE-t futtatni és azon keresztül kapcsolódna a windows server és akkor talán ezek a problémák egy része is szűrésre kerülne. Kasperskynek van virtualizációra való megoldása, de nem ismerem: https://www.kaspersky.com/small-to-medium-business-security/virtualization-light-agent Tiba Csaba Szentendrei Református Gimnázium 2000. Szentendre, Áprily tér 5 Kiss Zsolt mailto:r...@hb.edu.hu> > ezt írta (időpont: 2021. ápr. 11., V, 19:43): Nem rossz ötlet. Most sikerült bebootolnom itthon róla (a biztonság kedvéért mindkét diszkről csináltam egy mentést, találtam egy USB-t itthon), kergetek rajta pár irtót, eddig semmi lényegest nem talált. Valószínű ő csak áldozat lesz, de eléggé nagy áldozat, mert olyan gépről eredhetett a fertőzés, ami rendszergazda joggal hozzá fért a szerverem teljes tartalmához az adminisztratív rejtett megosztásokon keresztül. C meghajtó is fullon kódolva, amit csak úgy tudott megtenni, ha ő a primer, vagy máshonnan rg joggal végig mentek rajta. Sajnos régebben volt egy olyan probléma, hogy nem engedett be fontos felhasználókat, amit úgy hidaltak át, hogy szuperuserrel kezdék használni. Ez most megbosszulta magát, nekem meg még nem volt időm átalakítani a rendszert, mint írtam korábban, ez a féreg megelőzött... Ha megtalálom a forrást, akkor okosabbak leszünk. 3 gép működik most bent, távoli IP keresés alapján. Holnap ezeket próbálom megtalálni, mert csak annyit tudtam azonosítani a MAC címből, hogy HP gyártmány. Gyanúsan valamelyik lesz a hunyó. Zsolt From: techinfo-boun...@lista.sulinet.hu <mailto:techinfo-boun...@lista.sulinet.hu> mailto:techinfo-boun...@lista.sulinet.hu> > On Behalf Of József Venczel Sent: Sunday, April 11, 2021 6:58 PM To: Techinfo mailto:techinfo@lista.sulinet.hu> > Subject: Re: [Techinfo] kodolos "mocsok" Elnézést, hogy még mindig a virtualizáción lovagolok, de Windows-on is meg tudod oldani. Akár Hyper-V-vel, VirtualBox-szal, vagy VMWare-rel, amelyiket ismered. Telepítesz egy virtuális gépbe egy Windows-t (azért, hogy ne a fertőzött rendszerrel bootolj be), hozzáadsz egy akkora virtuális lemezt, amekkora a mentett lemez, bebootolsz Clonezilla-val és felmásolod a hozzáadott lemezre a mentést. Ezt már fel tudod mountolni Windows-ba a virtuális gépen a lemezkezelőben. Ha nincs megfelelő nagyságú winchid, akkor Windows-ban is van software raid0, a lemezkezelőben lehet konfigolni. Előtte dinamikus lemezzé kell konvertálni a diszkeket.
Re: [Techinfo] kodolos "mocsok"
A proxmox nem nagy dolog, és tudod rajta virtualizálni a windows szerveredet is. Minden egyéb másra is jól használható. De ha csak windows szervert használsz akkor annak látod azért a korlátait. Sokan vannak a csoportban, akik használják és megelégedéssel használják. Kevesebb szívás van vele, de mint mindennél itt is vannak néha gondok, az alapok nagyon egyszerűek, csak legyen vas amire felteszed. A kódolós mocsok ellen a legjobb, egy csomó visszaállítási pontod lehet és mivel ingyenes, nem kell annyit szívni, mintha windows alatt akarnál egy csomó mindent csinálni virtualizálva. A telepítése beállítása nem nehéz és meghálálja, ha van elég memória és HDD alatta (SSD). A linuxos dolgokat megtanulva pedig egy nagyszerű monitoring rendszert tudsz kiépíteni minden egyéb hiba kiszűrésére. NAGIOS, ZABBIX. Esetleg későbbiekre érdemes nézegetni: https://www.saashub.com/compare-appcheck-anti-ransomware-vs-proxmox-mail-gateway A proxmox alatt lehetne egy PFSENSE-t futtatni és azon keresztül kapcsolódna a windows server és akkor talán ezek a problémák egy része is szűrésre kerülne. Kasperskynek van virtualizációra való megoldása, de nem ismerem: https://www.kaspersky.com/small-to-medium-business-security/virtualization-light-agent Tiba Csaba Szentendrei Református Gimnázium 2000. Szentendre, Áprily tér 5 Kiss Zsolt ezt írta (időpont: 2021. ápr. 11., V, 19:43): > Nem rossz ötlet. Most sikerült bebootolnom itthon róla (a biztonság > kedvéért mindkét diszkről csináltam egy mentést, találtam egy USB-t > itthon), kergetek rajta pár irtót, eddig semmi lényegest nem talált. > > > > Valószínű ő csak áldozat lesz, de eléggé nagy áldozat, mert olyan gépről > eredhetett a fertőzés, ami rendszergazda joggal hozzá fért a szerverem > teljes tartalmához az adminisztratív rejtett megosztásokon keresztül. C > meghajtó is fullon kódolva, amit csak úgy tudott megtenni, ha ő a primer, > vagy máshonnan rg joggal végig mentek rajta. > > Sajnos régebben volt egy olyan probléma, hogy nem engedett be fontos > felhasználókat, amit úgy hidaltak át, hogy szuperuserrel kezdék használni. > Ez most megbosszulta magát, nekem meg még nem volt időm átalakítani a > rendszert, mint írtam korábban, ez a féreg megelőzött... Ha megtalálom a > forrást, akkor okosabbak leszünk. > > 3 gép működik most bent, távoli IP keresés alapján. Holnap ezeket próbálom > megtalálni, mert csak annyit tudtam azonosítani a MAC címből, hogy HP > gyártmány. Gyanúsan valamelyik lesz a hunyó. > > > > Zsolt > > > > *From:* techinfo-boun...@lista.sulinet.hu < > techinfo-boun...@lista.sulinet.hu> *On Behalf Of *József Venczel > *Sent:* Sunday, April 11, 2021 6:58 PM > *To:* Techinfo > *Subject:* Re: [Techinfo] kodolos "mocsok" > > > > Elnézést, hogy még mindig a virtualizáción lovagolok, de Windows-on is meg > tudod oldani. Akár Hyper-V-vel, VirtualBox-szal, vagy VMWare-rel, amelyiket > ismered. > > Telepítesz egy virtuális gépbe egy Windows-t (azért, hogy ne a fertőzött > rendszerrel bootolj be), hozzáadsz egy akkora virtuális lemezt, amekkora a > mentett lemez, bebootolsz Clonezilla-val és felmásolod a hozzáadott lemezre > a mentést. > > Ezt már fel tudod mountolni Windows-ba a virtuális gépen a lemezkezelőben. > > Ha nincs megfelelő nagyságú winchid, akkor Windows-ban is van software > raid0, a lemezkezelőben lehet konfigolni. Előtte dinamikus lemezzé kell > konvertálni a diszkeket. Átnyúló kötetnek hívják a raid0-t. Átmeneti > megoldásnak jó. > > > > A leírtakból arra tippelek, hogy a szerveren is szoftware raid1-ben voltak > a lemezek. Ha így van, nem kell aggódni, elég az egyik lemezt felmásolni. > Jelezni fogja, hogy hiányzik a másik lába, de működni fog. > > 3 évig használtam a Windows software raid1-ét, ezt is kipróbáltam, hogy mi > van, ha eltűnik az egyik lemez. Nem volt gond neki. Amikor visszadugtam a > lehúzott winchit, leszinkronizálta a tömböt, de végig elértem a tartalmát. > > Alapvetően nem egy rossz dolog, de elengedtem, mert amikor lefagyott a > gép, utána mindig leszinkronizálta a teljes tömböt. 3TB-os lemezeknél meg > ez kicsit sok idő. Ráadásul úgy vettem észre, ha közben kikapcsoltam, > másnap újrakezdte az egészet. > > > > Szerintem más módszer, amihez nem kell Linux, nem nagyon van, legfeljebb, > ha olyan image formátumra konvertálod, amit tudsz használni Windows-ban. > Esetleg, ha megcsinálod az előbbi virtualizációs megoldást, a virtuális gép > lemezét tudod konvertálni olyanná, de ez már csak ötlet, mert még nem > csináltam ilyet. > > > > Üdv, > > Venczel József > > > > > > Mivel tudom én ezt felmountolni Windows alatt, hogy bele tudjak nézni ha > szükséges? > > > > > > ui.: Csak megjegyzem, olyan messze állok a Linux (meg bármilyen) > guruságt
Re: [Techinfo] kodolos "mocsok"
Nem rossz ötlet. Most sikerült bebootolnom itthon róla (a biztonság kedvéért mindkét diszkről csináltam egy mentést, találtam egy USB-t itthon), kergetek rajta pár irtót, eddig semmi lényegest nem talált. Valószínű ő csak áldozat lesz, de eléggé nagy áldozat, mert olyan gépről eredhetett a fertőzés, ami rendszergazda joggal hozzá fért a szerverem teljes tartalmához az adminisztratív rejtett megosztásokon keresztül. C meghajtó is fullon kódolva, amit csak úgy tudott megtenni, ha ő a primer, vagy máshonnan rg joggal végig mentek rajta. Sajnos régebben volt egy olyan probléma, hogy nem engedett be fontos felhasználókat, amit úgy hidaltak át, hogy szuperuserrel kezdék használni. Ez most megbosszulta magát, nekem meg még nem volt időm átalakítani a rendszert, mint írtam korábban, ez a féreg megelőzött... Ha megtalálom a forrást, akkor okosabbak leszünk. 3 gép működik most bent, távoli IP keresés alapján. Holnap ezeket próbálom megtalálni, mert csak annyit tudtam azonosítani a MAC címből, hogy HP gyártmány. Gyanúsan valamelyik lesz a hunyó. Zsolt From: techinfo-boun...@lista.sulinet.hu On Behalf Of József Venczel Sent: Sunday, April 11, 2021 6:58 PM To: Techinfo Subject: Re: [Techinfo] kodolos "mocsok" Elnézést, hogy még mindig a virtualizáción lovagolok, de Windows-on is meg tudod oldani. Akár Hyper-V-vel, VirtualBox-szal, vagy VMWare-rel, amelyiket ismered. Telepítesz egy virtuális gépbe egy Windows-t (azért, hogy ne a fertőzött rendszerrel bootolj be), hozzáadsz egy akkora virtuális lemezt, amekkora a mentett lemez, bebootolsz Clonezilla-val és felmásolod a hozzáadott lemezre a mentést. Ezt már fel tudod mountolni Windows-ba a virtuális gépen a lemezkezelőben. Ha nincs megfelelő nagyságú winchid, akkor Windows-ban is van software raid0, a lemezkezelőben lehet konfigolni. Előtte dinamikus lemezzé kell konvertálni a diszkeket. Átnyúló kötetnek hívják a raid0-t. Átmeneti megoldásnak jó. A leírtakból arra tippelek, hogy a szerveren is szoftware raid1-ben voltak a lemezek. Ha így van, nem kell aggódni, elég az egyik lemezt felmásolni. Jelezni fogja, hogy hiányzik a másik lába, de működni fog. 3 évig használtam a Windows software raid1-ét, ezt is kipróbáltam, hogy mi van, ha eltűnik az egyik lemez. Nem volt gond neki. Amikor visszadugtam a lehúzott winchit, leszinkronizálta a tömböt, de végig elértem a tartalmát. Alapvetően nem egy rossz dolog, de elengedtem, mert amikor lefagyott a gép, utána mindig leszinkronizálta a teljes tömböt. 3TB-os lemezeknél meg ez kicsit sok idő. Ráadásul úgy vettem észre, ha közben kikapcsoltam, másnap újrakezdte az egészet. Szerintem más módszer, amihez nem kell Linux, nem nagyon van, legfeljebb, ha olyan image formátumra konvertálod, amit tudsz használni Windows-ban. Esetleg, ha megcsinálod az előbbi virtualizációs megoldást, a virtuális gép lemezét tudod konvertálni olyanná, de ez már csak ötlet, mert még nem csináltam ilyet. Üdv, Venczel József Mivel tudom én ezt felmountolni Windows alatt, hogy bele tudjak nézni ha szükséges? ui.: Csak megjegyzem, olyan messze állok a Linux (meg bármilyen) guruságtól, mint Makó Jeruzsálemtől. Amit írtam, mindet be tudod állítani telepítéskor a Proxmoxon, grafikus felületen. ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok"
Elnézést, hogy még mindig a virtualizáción lovagolok, de Windows-on is meg tudod oldani. Akár Hyper-V-vel, VirtualBox-szal, vagy VMWare-rel, amelyiket ismered. Telepítesz egy virtuális gépbe egy Windows-t (azért, hogy ne a fertőzött rendszerrel bootolj be), hozzáadsz egy akkora virtuális lemezt, amekkora a mentett lemez, bebootolsz Clonezilla-val és felmásolod a hozzáadott lemezre a mentést. Ezt már fel tudod mountolni Windows-ba a virtuális gépen a lemezkezelőben. Ha nincs megfelelő nagyságú winchid, akkor Windows-ban is van software raid0, a lemezkezelőben lehet konfigolni. Előtte dinamikus lemezzé kell konvertálni a diszkeket. Átnyúló kötetnek hívják a raid0-t. Átmeneti megoldásnak jó. A leírtakból arra tippelek, hogy a szerveren is szoftware raid1-ben voltak a lemezek. Ha így van, nem kell aggódni, elég az egyik lemezt felmásolni. Jelezni fogja, hogy hiányzik a másik lába, de működni fog. 3 évig használtam a Windows software raid1-ét, ezt is kipróbáltam, hogy mi van, ha eltűnik az egyik lemez. Nem volt gond neki. Amikor visszadugtam a lehúzott winchit, leszinkronizálta a tömböt, de végig elértem a tartalmát. Alapvetően nem egy rossz dolog, de elengedtem, mert amikor lefagyott a gép, utána mindig leszinkronizálta a teljes tömböt. 3TB-os lemezeknél meg ez kicsit sok idő. Ráadásul úgy vettem észre, ha közben kikapcsoltam, másnap újrakezdte az egészet. Szerintem más módszer, amihez nem kell Linux, nem nagyon van, legfeljebb, ha olyan image formátumra konvertálod, amit tudsz használni Windows-ban. Esetleg, ha megcsinálod az előbbi virtualizációs megoldást, a virtuális gép lemezét tudod konvertálni olyanná, de ez már csak ötlet, mert még nem csináltam ilyet. Üdv, Venczel József > > Mivel tudom én ezt felmountolni Windows alatt, hogy bele tudjak nézni ha > szükséges? > > > ui.: Csak megjegyzem, olyan messze állok a Linux (meg bármilyen) guruságtól, mint Makó Jeruzsálemtől. Amit írtam, mindet be tudod állítani telepítéskor a Proxmoxon, grafikus felületen. ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok"
2021. 04. 11. 0:59 keltezéssel, Kiss Zsolt írta: id-66B91F14.[m...@zimbabwe.su].Crypt a kiterjesztés https://howtofix.guide/back-file-virus-backdatazimbabwe-su/ -- Alaksza Balázs ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok"
Nem tudom miért állt le az ellenőrzésnél, de kitöröltem a kérdéses partícióról 100 gigát (WSUS mappa, már több éve maga a wsus el lett távolítva, nem tudom ez miért maradt ott), és lőn csoda a Clonezilla az ellenőrzést is gond nélkül megcsinálta J Nem mellesleg egy 100-assal kevesebb helyet is fog az image J Mivel tudom én ezt felmountolni Windows alatt, hogy bele tudjak nézni ha szükséges? Zsolt From: techinfo-boun...@lista.sulinet.hu On Behalf Of Tiba Csaba Sent: Sunday, April 11, 2021 10:19 AM To: Techinfo Subject: Re: [Techinfo] kodolos "mocsok" A clonezilla dd parancsot használ, lehetne live cd alatt parancsorban paraméterezni, hogy hiba esetén se álljon le. Bármilyen linuxot tudsz használni erre a célra nem muszáj a clonezillát. Goarted alatt tudsz grafikusan is mentést csinálni. Clonezillában is biztos lehet valahogy paraméterezni. Kiss Zsolt mailto:r...@hb.edu.hu> > ezt írta (időpont: 2021. ápr. 11., V 9:28): Nincs sok illúzióm a megmentést illetően. Mentés után ha hozzáférek megnézem és jelentkezem. Zsolt From: techinfo-boun...@lista.sulinet.hu <mailto:techinfo-boun...@lista.sulinet.hu> mailto:techinfo-boun...@lista.sulinet.hu> > On Behalf Of Alaksza Balázs Sent: Saturday, April 10, 2021 10:52 AM To: techinfo@lista.sulinet.hu <mailto:techinfo@lista.sulinet.hu> Subject: Re: [Techinfo] kodolos "mocsok" 2021. 04. 09. 16:55 keltezéssel, Kiss Zsolt írta: Most nem emlékszem, a kiterjesztést cserélte le. Meg kellene nézned, igazából ebben van a válasz az összes többi kérdésedre. A módosult kiterjesztés alapján meg lesz melyik kártevő volt pontosan és akkor az is, hogy hogyan sikerült beszerezni. A régebbieket sok vírusírtó felismeri és megoldja, sőt, némelyikhez van visszafejtő program is(azért óriás reményeket ne fűzz hozzá, van olyan program is ami valójában nem titkosít hanem random adatokkal "szennyezi" be a fájlokat). -- Alaksza Balázs ___ Techinfo mailing list Techinfo@lista.sulinet.hu <mailto:Techinfo@lista.sulinet.hu> Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok"
A clonezilla dd parancsot használ, lehetne live cd alatt parancsorban paraméterezni, hogy hiba esetén se álljon le. Bármilyen linuxot tudsz használni erre a célra nem muszáj a clonezillát. Goarted alatt tudsz grafikusan is mentést csinálni. Clonezillában is biztos lehet valahogy paraméterezni. Kiss Zsolt ezt írta (időpont: 2021. ápr. 11., V 9:28): > Nincs sok illúzióm a megmentést illetően. Mentés után ha hozzáférek > megnézem és jelentkezem. > > > > Zsolt > > > > *From:* techinfo-boun...@lista.sulinet.hu < > techinfo-boun...@lista.sulinet.hu> *On Behalf Of *Alaksza Balázs > *Sent:* Saturday, April 10, 2021 10:52 AM > *To:* techinfo@lista.sulinet.hu > *Subject:* Re: [Techinfo] kodolos "mocsok" > > > > 2021. 04. 09. 16:55 keltezéssel, Kiss Zsolt írta: > > Most nem emlékszem, a kiterjesztést cserélte le. > > > Meg kellene nézned, igazából ebben van a válasz az összes többi kérdésedre. > A módosult kiterjesztés alapján meg lesz melyik kártevő volt pontosan és > akkor az is, hogy hogyan sikerült beszerezni. > > A régebbieket sok vírusírtó felismeri és megoldja, sőt, némelyikhez van > visszafejtő program is(azért óriás reményeket ne fűzz hozzá, van olyan > program is ami valójában nem titkosít hanem random adatokkal "szennyezi" be > a fájlokat). > > > > -- > > Alaksza Balázs > > ___ > Techinfo mailing list > Techinfo@lista.sulinet.hu > Fel- és leiratkozás: > http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo > Illemtan: http://www.szag.hu/illemtan.html > Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ > ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok"
id-66B91F14.[m...@zimbabwe.su].Crypt a kiterjesztés Nem sok reményt látok, hogy az életben viszont látom a filejaimat. Zsolt From: techinfo-boun...@lista.sulinet.hu On Behalf Of Tiba Csaba Sent: Saturday, April 10, 2021 9:43 AM To: Techinfo Subject: Re: [Techinfo] kodolos "mocsok" A kiterjesztés lesz a kódolós mocsok neve. ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok"
A mai napom elment arra, hogy készítettem egy másik diskre is clonezilla képet. 2x is visszaellenőriztem, az ellenőrzés mind2x ugyanott akadt ki. Utána ráengedtem újra az éjszakaira (sajnos reggel túl kómás voltam nem készítettem fotót pontosan mi akadt el), és csodák csodájára ugyanott dobta el az agyát mint a másik lemezképem. Hogy a fenében ronthatja el ugyanott a mentést a clonezilla? Rejtély… Kérdezett az elején filerendszer ellenőrzést/javítást, de nem tudtam rá merjem-e engedni, pláne a tükör miatt. Zsolt From: techinfo-boun...@lista.sulinet.hu On Behalf Of Kiss Zsolt Sent: Saturday, April 10, 2021 10:40 AM To: 'Techinfo' Subject: Re: [Techinfo] kodolos "mocsok" A Clonezilla hibával állt le az utolsó partíciónál. Nem tudott olvasni, ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok"
Nem, semmi külső szolgáltatás nem fut, RDP van kint, de nem a 3389-es porton. Csak AD-ra használjuk, fileszerver. Na ezért akarom én áttenni a felhőbe. Zsolt From: techinfo-boun...@lista.sulinet.hu On Behalf Of Veres Sándor Sent: Saturday, April 10, 2021 11:54 AM To: Techinfo Subject: Re: [Techinfo] kodolos "mocsok" Szia! Van-e a Windows szerveren Microsoft Exchange? Ha igen, akkor OWA ki van-e publikálva a publikus netre? https://nki.gov.hu/it-biztonsag/hirek/proxylogon-hirkoveto/ Veres Sándor Kiss Zsolt mailto:r...@hb.edu.hu> > ezt írta (időpont: 2021. ápr. 9., P, 21:53): Sziasztok! Sikerült benyelnünk egy kódolós szemétládát. Valaki utána járt már ennek a mechanizmusának? Ugyanis nem találjuk hol érkezhetett. Egyik gépen sem akar pénzt követelni. Ráadásul a szerveren éjszaka "gyalogolt" végig. Valamelyik gép bekapcsolva maradt, vagy a hálózaton keresztül elbújt a szerveren és utána tevékenykedett? Az a fura, nem mindent ért el, de a legérdekesebb, hogy az iskolatitkárunk saját mappájában elkapott 2-3 filet, a többi tömeg érintetlen. Azok vajon miért maradtak ki a szórásból? Végig ment a NAS-unkon is. Félre ne értsetek, ne akarunk fizetni, de legalább lenne meg a forrás, mert így teljesen sötétben tapogatódzunk. Jött olyan e-mail ami gyanús, de ahol be van állítva a levelező, ott vagy olvasatlan volt, vagy a kukába vágták alapból. Nem tudom vajon az volt-e egyáltalán a forrás, vagy valaki más magánlevelezéséből indult meg. Most következik a szerverről egy teljes imagelés, addig nem is mertem ráengedni semmit. Ráadásul én 1 hónapja vagyok itt, még nem látom át mi merre meddig. Felhőbe akartam költöztetni az adminisztrációt, ahol két kattintás lenne korábbi állapotba visszaállítani, de sajnos a vírus megelőzött. Így most előre kell venni az adatok átnézését, hátha találok valahol valami nem őskövület backupot. Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu <mailto:Techinfo@lista.sulinet.hu> Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ -- Veres Sándor ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok"
Szia! Van-e a Windows szerveren Microsoft Exchange? Ha igen, akkor OWA ki van-e publikálva a publikus netre? https://nki.gov.hu/it-biztonsag/hirek/proxylogon-hirkoveto/ Veres Sándor Kiss Zsolt ezt írta (időpont: 2021. ápr. 9., P, 21:53): > Sziasztok! > > Sikerült benyelnünk egy kódolós szemétládát. Valaki utána járt már ennek a > mechanizmusának? Ugyanis nem találjuk hol érkezhetett. Egyik gépen sem akar > pénzt követelni. Ráadásul a szerveren éjszaka "gyalogolt" végig. Valamelyik > gép bekapcsolva maradt, vagy a hálózaton keresztül elbújt a szerveren és > utána tevékenykedett? Az a fura, nem mindent ért el, de a legérdekesebb, > hogy az iskolatitkárunk saját mappájában elkapott 2-3 filet, a többi tömeg > érintetlen. Azok vajon miért maradtak ki a szórásból? Végig ment a > NAS-unkon is. > > Félre ne értsetek, ne akarunk fizetni, de legalább lenne meg a forrás, mert > így teljesen sötétben tapogatódzunk. Jött olyan e-mail ami gyanús, de ahol > be van állítva a levelező, ott vagy olvasatlan volt, vagy a kukába vágták > alapból. Nem tudom vajon az volt-e egyáltalán a forrás, vagy valaki más > magánlevelezéséből indult meg. Most következik a szerverről egy teljes > imagelés, addig nem is mertem ráengedni semmit. > > Ráadásul én 1 hónapja vagyok itt, még nem látom át mi merre meddig. Felhőbe > akartam költöztetni az adminisztrációt, ahol két kattintás lenne korábbi > állapotba visszaállítani, de sajnos a vírus megelőzött. Így most előre kell > venni az adatok átnézését, hátha találok valahol valami nem őskövület > backupot. > > Zsolt > > ___ > Techinfo mailing list > Techinfo@lista.sulinet.hu > Fel- és leiratkozás: > http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo > Illemtan: http://www.szag.hu/illemtan.html > Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ > -- Veres Sándor ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok"
Nincs sok illúzióm a megmentést illetően. Mentés után ha hozzáférek megnézem és jelentkezem. Zsolt From: techinfo-boun...@lista.sulinet.hu On Behalf Of Alaksza Balázs Sent: Saturday, April 10, 2021 10:52 AM To: techinfo@lista.sulinet.hu Subject: Re: [Techinfo] kodolos "mocsok" 2021. 04. 09. 16:55 keltezéssel, Kiss Zsolt írta: Most nem emlékszem, a kiterjesztést cserélte le. Meg kellene nézned, igazából ebben van a válasz az összes többi kérdésedre. A módosult kiterjesztés alapján meg lesz melyik kártevő volt pontosan és akkor az is, hogy hogyan sikerült beszerezni. A régebbieket sok vírusírtó felismeri és megoldja, sőt, némelyikhez van visszafejtő program is(azért óriás reményeket ne fűzz hozzá, van olyan program is ami valójában nem titkosít hanem random adatokkal "szennyezi" be a fájlokat). -- Alaksza Balázs ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok"
2021. 04. 09. 16:55 keltezéssel, Kiss Zsolt írta: Most nem emlékszem, a kiterjesztést cserélte le. Meg kellene nézned, igazából ebben van a válasz az összes többi kérdésedre. A módosult kiterjesztés alapján meg lesz melyik kártevő volt pontosan és akkor az is, hogy hogyan sikerült beszerezni. A régebbieket sok vírusírtó felismeri és megoldja, sőt, némelyikhez van visszafejtő program is(azért óriás reményeket ne fűzz hozzá, van olyan program is ami valójában nem titkosít hanem random adatokkal "szennyezi" be a fájlokat). -- Alaksza Balázs ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok" (mentek Clonezillával, de van 1-2 sötét folt)
2016-os Win szerver. A mentést megoldom, arra már van helyem. Nem vagyok egy Linuxos guru, így mire a lenti dolgot összeraknám, arra rengeteg idő menne el. Egyébként hiába fontos a file, ha lekódolta, akkor így jártunk, azzal úgysem tudok mit kezdeni. Mentésem van, kiirtani volna a jó, ha nem sikerül, hát a mentésem még ott van. Már ami megmaradt, ezt még nem tudom mennyi. Iskolatitkár is amit elért és megmaradt, mentettem pendrivera, infos helyettesem is amit elért és fontos és megmaradt megtette. Ő azért jobban tudja hol mit tárolt, mi maradt meg, ez azért szerencse. Most így előre kell hozni az új adattárolási modellt, ami mindenképpen felhő alapú lesz. Azzal nem tudom mit fog tudni kezdeni egy ilyen mocsok, mert ott azért a tárhely visszaállítása miatt már a kódolós feje főjön, ott én röhögök rajta J Zsolt From: techinfo-boun...@lista.sulinet.hu On Behalf Of József Venczel Sent: Saturday, April 10, 2021 9:44 AM To: Techinfo Subject: Re: [Techinfo] kodolos "mocsok" (mentek Clonezillával, de van 1-2 sötét folt) Szia! Nem írtad milyen szerver. Én egy ilyen szerverrel már csináltam hasonlót: Debian 7-es softraid1+lvm, mbr partíciós sémával. Mayor napló futott rajta. Készítettem az egyik lemezről egy image-et és felmásoltam fizikai gépre is, meg később virtuális gépre is clonezillával. Egyszerűen leszinkronizálta magát és ment tovább minden. Egyedül a hálózatot kellett újrakonfigolni, de ez érthető. A Clonezilla nem tudja kezelni a software raid-et, csak sima dd-vel másolja a lemezeket lényegében bitről bitre. Hardware raid-del nincs tapasztalatom. Nincsenek a közeledben kisebb winchesterek? Ha nagyon fontos fájlokról van szó, akkor én simán összeszednék a környezetemből, a tanulói gépekből 4db 500GB-os winchestert, beraknám egy akármilyen gépbe (mondjuk nem árt, ha van benne legalább 8GB RAM) és feltelepítenék rá egy Proxmoxot ZFS-sel. ZFS raid0-val össze tudod fogni a winchestereket egy poolba és van egyben 2TB-od (nagyjából :). Azon létrehozol egy virtuális gépet és annak a lemezére már fel tudod másolni a mentett clonezilla image-et úgy, hogy bebootolsz a virtuális gépre Clonezillával. Inkább azzal kísérleteznék. Ez így szervernek nyilván nem használható biztonságosan a raid0 miatt, de úgyis csak átmeneti megoldásnak kell. Megértelek, új munkahely és rögtön belefutsz egy ilyenbe. Nem irigyellek! Más körülmények között, biztosan nem bíbelődnék vele, én is az újratelepítésre szavazok, bármennyire csekély is a kockázat. Üdv, Venczel József Kiss Zsolt mailto:r...@hb.edu.hu> > ezt írta (időpont: 2021. ápr. 9., P, 23:03): Átírtam a tárgyat, de mivel az eredeti problémával kapcsolatos, csak azért tettem, hátha a Clonezilla guruk is jobban felkapják a fejüket rá :) > Sikerült benyelnünk egy kódolós szemétládát. Ahol most tartok. Eddig gyakran ghosttal mentettem, de a szerveren ez megbukott (be sem tudtam bootolni). Elővettem a clonezillát, amivel eddig még keveset foglalkoztam, az efopos laptopnál kerültem vele kapcsolatba. Szóval van pár kérdésem ezzel kapcsolatban. 1. A raid-es szerveremnél a Clonezilla felismeri a tömb mindkét lemezét. Ha mindkettőt lementeném, kellene össz. 1,5 TB hely, ami nincs. Ha az egyiket lementem, azzal ha később vissza akarnék tölteni, akkor ráküldhetem mindkét diskre? Vagy van olyan spéci területe a diskeknek, ami megbolondítja a tömböt? Esetleg az elsőre rátöltsem, a tömb szétesik, majd megkérdezi a vezérlő melyikkből állítsa vissza a tükröt? 2. A clonezilla képet én Windows-al fel tudom mountolni? Létezik hozzá program? Tehát tudok így fileokat kiszedni a most lementett anyagból +1, ami nem clonezilla: Vajon csinálhat még ez egy második kört? Azaz ha elkezdem piszkálni a gépet, lehet, hogy újraaktivizálódik és még ami megmenekült, az is kódolódik? Ill. szerintetek mit eresszek rá, amivel meg tudnám fogni, hogy az irmagját is kiirtsam? Fizetni úgy sem akarunk, meg nem is tudnánk... Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu <mailto:Techinfo@lista.sulinet.hu> Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok"
A Clonezilla hibával állt le az utolsó partíciónál. Nem tudott olvasni, csak azt nem tudtam eldönteni a lemezkép ellenőrzésénél-e vagy a szerverem diskje hibás. Ez utóbbira tippeltem, mert gyanúsan ha a kép lenne hibás arra nem ilyen olvasni nem tudom hibát írt volna, hanem check fail vagy valami hasonlót. Most kotortam még egy másik disket, amin volt itthon hely és ráengedem arra újra. Nappal látom mit művel, ill. ha itt is kiakad, még van disk hibám is… Akkor majd ráengedem a másik lemezére a tömbnek. Ha sikerül menteni végre, majd megnézem a kiterjesztést. Az a fura nekem, hogy te is írod „újra a hálózaton lesz”. De éjjel elvileg csak a szerver van a hálózaton, meg persze amit bekapcsolva felejtettek. Pont ilyen pechem lenne, hogy még bekapcsolva is felejtették? De hajnali 2 órások az időpontok, utána „elfáradt”? Meg csak éjjel dolgozna, nappal lapul? Ha majd lesz mentésem akkor jobban tudom nézni mi van oda, mikori dátumokkal. A titkársági gép azért nem gyanús nekem mert az iskolatitkár saját mappájából van a szerveren oda a 3 file. A saját gépén minden megvan. De majd ha bekapcsolom a szervert, akkor az is kiderül, melyik felhasználó nevében piszkálta a fileokat. Erre nagyon kíváncsi leszek. Sajnos több ember is ugyanazt kapta az elődömtől, amikor volt belépési probléma, aztán úgy maradt. De hátha nem az „univerzális” user lesz. A szerver Windows szerver 2016. A kliensen 10-esek, de meg nem mondom milyen verzió. A nyáron akarom majd 20H2-re cserélni, mert addigra igaz lesz 21-es is, de a múltkor azt láttam, hosszabb a H2-esek támogatása, az év elejiek valamiért hamarább elavulnak MS-éknél, nem is értem. Nem tudom mit akadályoz a MS, meg mi alatt, de jobban bíznék egy vírusirtóban, amit persze nem vesz a tanker… Zsolt From: techinfo-boun...@lista.sulinet.hu On Behalf Of Tiba Csaba Sent: Saturday, April 10, 2021 9:43 AM To: Techinfo Subject: Re: [Techinfo] kodolos "mocsok" A kiterjesztés lesz a kódolós mocsok neve. Igen este nyugalomban is fog futni, ha az a gép ami fertőzött újra a hálózaton lesz. Minden megosztáson keresztül terjed. Az a gép a Fertőző, amelyiken minden állomány átíródott és hálózaton eléri a többit. A titkársági gép ilyen szempontból milyen? Nem biztos, hogy csak az a 3. A kiterjesztés alapján ha régebbi, akkor a vírusírtó meg kell fogja, ha újabb, akkor nem biztos, hogy észleli. Függ attól is, hogy milyen OS fut a gépeken. Az új windows 10-be jött valami frissítésel egy olyan, hogy akadályozza az ilyenek terjedését, régebbi rendszereken meg simán terjed. Az újdonság, hogy platformfüggetlenedik a dolog, létezik linux alatt is terjedö kódolós is már. Az image-ek megnyitását mindenképpen valami biztonságos környezetben tedd nehogy újra sikerüljön elindítani a folyamatokat. Kiss Zsolt mailto:r...@hb.edu.hu> > ezt írta (időpont: 2021. ápr. 10., Szo 0:03): > > kódolós mocsok nagyon sokféle van sajnos, van ami e-mail csatolmányban jön, > van ami a windows távoli asztal-ban lévő sebezhetőséget használja ki és Nekem fogott a vírusirtóm a közös levelezésben szerdán encryptes levelet 2-t. De a többieknél vagy kuka volt, vagy olvasatlanul csücsült ott. RDP-t használom a szerver elérésére. De nem a 3389-es porton. Ami ezt használja ki, felismeri, hogy másik porton közlekedem vajon? Fura egybeesés lenne a levél, ha az RDP-vel jött volna be? > Mi lett a kódolt fájlok neve? Abból megvan, hogy melyik változat és okosabb > leszel. Most nem emlékszem, a kiterjesztést cserélte le. > Lehet azért nem követel még pénzt mert még nem végzett, az is tipikus > jelenség. > És éjszaka akarja folytatni a "jótékony" cselekedetét? Azért az iskolatitkár csak 3 kódolt fileja érdekes. Most minden esetre hazahoztam, készül róla disk image, addig nem mertem piszkálni, mert ha még lapul, nehogy nagyobb kárt tegyen. Volt ott novemberi dátumú mentés, amihez nem fértem hozzá, abban bízom, hogyha majd adok jogot, akkor abban azért lesz hasznos anyag. Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu <mailto:Techinfo@lista.sulinet.hu> Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok" (mentek Clonezillával, de van 1-2 sötét folt)
Szia! Nem írtad milyen szerver. Én egy ilyen szerverrel már csináltam hasonlót: Debian 7-es softraid1+lvm, mbr partíciós sémával. Mayor napló futott rajta. Készítettem az egyik lemezről egy image-et és felmásoltam fizikai gépre is, meg később virtuális gépre is clonezillával. Egyszerűen leszinkronizálta magát és ment tovább minden. Egyedül a hálózatot kellett újrakonfigolni, de ez érthető. A Clonezilla nem tudja kezelni a software raid-et, csak sima dd-vel másolja a lemezeket lényegében bitről bitre. Hardware raid-del nincs tapasztalatom. Nincsenek a közeledben kisebb winchesterek? Ha nagyon fontos fájlokról van szó, akkor én simán összeszednék a környezetemből, a tanulói gépekből 4db 500GB-os winchestert, beraknám egy akármilyen gépbe (mondjuk nem árt, ha van benne legalább 8GB RAM) és feltelepítenék rá egy Proxmoxot ZFS-sel. ZFS raid0-val össze tudod fogni a winchestereket egy poolba és van egyben 2TB-od (nagyjából :). Azon létrehozol egy virtuális gépet és annak a lemezére már fel tudod másolni a mentett clonezilla image-et úgy, hogy bebootolsz a virtuális gépre Clonezillával. Inkább azzal kísérleteznék. Ez így szervernek nyilván nem használható biztonságosan a raid0 miatt, de úgyis csak átmeneti megoldásnak kell. Megértelek, új munkahely és rögtön belefutsz egy ilyenbe. Nem irigyellek! Más körülmények között, biztosan nem bíbelődnék vele, én is az újratelepítésre szavazok, bármennyire csekély is a kockázat. Üdv, Venczel József Kiss Zsolt ezt írta (időpont: 2021. ápr. 9., P, 23:03): > Átírtam a tárgyat, de mivel az eredeti problémával kapcsolatos, csak azért > tettem, hátha a Clonezilla guruk is jobban felkapják a fejüket rá :) > > > Sikerült benyelnünk egy kódolós szemétládát. > > Ahol most tartok. Eddig gyakran ghosttal mentettem, de a szerveren ez > megbukott (be sem tudtam bootolni). Elővettem a clonezillát, amivel eddig > még keveset foglalkoztam, az efopos laptopnál kerültem vele kapcsolatba. > > Szóval van pár kérdésem ezzel kapcsolatban. > > 1. A raid-es szerveremnél a Clonezilla felismeri a tömb mindkét lemezét. Ha > mindkettőt lementeném, kellene össz. 1,5 TB hely, ami nincs. Ha az egyiket > lementem, azzal ha később vissza akarnék tölteni, akkor ráküldhetem mindkét > diskre? Vagy van olyan spéci területe a diskeknek, ami megbolondítja a > tömböt? Esetleg az elsőre rátöltsem, a tömb szétesik, majd megkérdezi a > vezérlő melyikkből állítsa vissza a tükröt? > > 2. A clonezilla képet én Windows-al fel tudom mountolni? Létezik hozzá > program? Tehát tudok így fileokat kiszedni a most lementett anyagból > > +1, ami nem clonezilla: > Vajon csinálhat még ez egy második kört? Azaz ha elkezdem piszkálni a > gépet, > lehet, hogy újraaktivizálódik és még ami megmenekült, az is kódolódik? > Ill. szerintetek mit eresszek rá, amivel meg tudnám fogni, hogy az irmagját > is kiirtsam? Fizetni úgy sem akarunk, meg nem is tudnánk... > > Zsolt > > ___ > Techinfo mailing list > Techinfo@lista.sulinet.hu > Fel- és leiratkozás: > http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo > Illemtan: http://www.szag.hu/illemtan.html > Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ > ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok"
A kiterjesztés lesz a kódolós mocsok neve. Igen este nyugalomban is fog futni, ha az a gép ami fertőzött újra a hálózaton lesz. Minden megosztáson keresztül terjed. Az a gép a Fertőző, amelyiken minden állomány átíródott és hálózaton eléri a többit. A titkársági gép ilyen szempontból milyen? Nem biztos, hogy csak az a 3. A kiterjesztés alapján ha régebbi, akkor a vírusírtó meg kell fogja, ha újabb, akkor nem biztos, hogy észleli. Függ attól is, hogy milyen OS fut a gépeken. Az új windows 10-be jött valami frissítésel egy olyan, hogy akadályozza az ilyenek terjedését, régebbi rendszereken meg simán terjed. Az újdonság, hogy platformfüggetlenedik a dolog, létezik linux alatt is terjedö kódolós is már. Az image-ek megnyitását mindenképpen valami biztonságos környezetben tedd nehogy újra sikerüljön elindítani a folyamatokat. Kiss Zsolt ezt írta (időpont: 2021. ápr. 10., Szo 0:03): > > > > > kódolós mocsok nagyon sokféle van sajnos, van ami e-mail csatolmányban > jön, > > van ami a windows távoli asztal-ban lévő sebezhetőséget használja ki és > > Nekem fogott a vírusirtóm a közös levelezésben szerdán encryptes levelet > 2-t. De a többieknél vagy kuka volt, vagy olvasatlanul csücsült ott. > RDP-t használom a szerver elérésére. De nem a 3389-es porton. Ami ezt > használja ki, felismeri, hogy másik porton közlekedem vajon? Fura egybeesés > lenne a levél, ha az RDP-vel jött volna be? > > > > Mi lett a kódolt fájlok neve? Abból megvan, hogy melyik változat és > okosabb > > leszel. > > Most nem emlékszem, a kiterjesztést cserélte le. > > > Lehet azért nem követel még pénzt mert még nem végzett, az is tipikus > > jelenség. > > > > És éjszaka akarja folytatni a "jótékony" cselekedetét? Azért az > iskolatitkár > csak 3 kódolt fileja érdekes. > Most minden esetre hazahoztam, készül róla disk image, addig nem mertem > piszkálni, mert ha még lapul, nehogy nagyobb kárt tegyen. Volt ott > novemberi > dátumú mentés, amihez nem fértem hozzá, abban bízom, hogyha majd adok > jogot, > akkor abban azért lesz hasznos anyag. > > > Zsolt > > > > > ___ > Techinfo mailing list > Techinfo@lista.sulinet.hu > Fel- és leiratkozás: > http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo > Illemtan: http://www.szag.hu/illemtan.html > Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ > ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok" (mentek Clonezillával, de van 1-2 sötét folt)
Tiszta, meg jó vírusirtós géppel szerintem kicsi a kockázat, majdnem nulla. Azt sem tudom sajnos mik az érintett gépek. Nem tudom honnan eredet. A szerver nyalta be RDP-n, vagy valaki mégis mailre kattintott. Egyébként nem is nagyon ragaszkodom én a fizikai adattároláshoz, jobbnak látom nyomni sharepoint alá, ott két kattal visszaállítom a tárhelyet a korábbi állapotba. Ha ki kellene kukáznom az egész AD-mat, jó eséllyel ez volna az utólsó szög a koporsóba, újra nem építeném, akkor menne a felhőbe mindenki azonnal. Ha meg tudnám úszni a telepítést mert sikerülne kitisztítanom, akkor maradhatna hibrid, aztán majd kiderül mit hoz a jövő. Zsolt From: techinfo-boun...@lista.sulinet.hu On Behalf Of Tiba Csaba Sent: Friday, April 9, 2021 11:17 PM To: Techinfo Subject: Re: [Techinfo] kodolos "mocsok" (mentek Clonezillával, de van 1-2 sötét folt) Készíts egy .img képet belőle biztosan, ez még később jól jöhet. Nem nézném meg windows alatt, mert lehetséges a további fertőzés. Én egy teljesen új telepítést javaslok minden egyes érintett gépen. Az adatok, ha nem volt korábbi mentés, akkor simán lehetnek majd kukák addig, amíg valaki fel nem teszi a kódtörést. Van erre valahol weboldal talán még a nod32-nek is. Szerintem valósitsd meg most proxmox vagy más virtuális gép alatt amit akarsz és erre a normális alapra tedd vissza a cuccokat, akkor tudsz bármikor visszaállni egy állapotra. Kiss Zsolt mailto:r...@hb.edu.hu> > ezt írta (időpont: 2021. ápr. 9., P 22:27): Átírtam a tárgyat, de mivel az eredeti problémával kapcsolatos, csak azért tettem, hátha a Clonezilla guruk is jobban felkapják a fejüket rá :) > Sikerült benyelnünk egy kódolós szemétládát. Ahol most tartok. Eddig gyakran ghosttal mentettem, de a szerveren ez megbukott (be sem tudtam bootolni). Elővettem a clonezillát, amivel eddig még keveset foglalkoztam, az efopos laptopnál kerültem vele kapcsolatba. Szóval van pár kérdésem ezzel kapcsolatban. 1. A raid-es szerveremnél a Clonezilla felismeri a tömb mindkét lemezét. Ha mindkettőt lementeném, kellene össz. 1,5 TB hely, ami nincs. Ha az egyiket lementem, azzal ha később vissza akarnék tölteni, akkor ráküldhetem mindkét diskre? Vagy van olyan spéci területe a diskeknek, ami megbolondítja a tömböt? Esetleg az elsőre rátöltsem, a tömb szétesik, majd megkérdezi a vezérlő melyikkből állítsa vissza a tükröt? 2. A clonezilla képet én Windows-al fel tudom mountolni? Létezik hozzá program? Tehát tudok így fileokat kiszedni a most lementett anyagból +1, ami nem clonezilla: Vajon csinálhat még ez egy második kört? Azaz ha elkezdem piszkálni a gépet, lehet, hogy újraaktivizálódik és még ami megmenekült, az is kódolódik? Ill. szerintetek mit eresszek rá, amivel meg tudnám fogni, hogy az irmagját is kiirtsam? Fizetni úgy sem akarunk, meg nem is tudnánk... Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu <mailto:Techinfo@lista.sulinet.hu> Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok" (mentek Clonezillával, de van 1-2 sötét folt)
Készíts egy .img képet belőle biztosan, ez még később jól jöhet. Nem nézném meg windows alatt, mert lehetséges a további fertőzés. Én egy teljesen új telepítést javaslok minden egyes érintett gépen. Az adatok, ha nem volt korábbi mentés, akkor simán lehetnek majd kukák addig, amíg valaki fel nem teszi a kódtörést. Van erre valahol weboldal talán még a nod32-nek is. Szerintem valósitsd meg most proxmox vagy más virtuális gép alatt amit akarsz és erre a normális alapra tedd vissza a cuccokat, akkor tudsz bármikor visszaállni egy állapotra. Kiss Zsolt ezt írta (időpont: 2021. ápr. 9., P 22:27): > Átírtam a tárgyat, de mivel az eredeti problémával kapcsolatos, csak azért > tettem, hátha a Clonezilla guruk is jobban felkapják a fejüket rá :) > > > Sikerült benyelnünk egy kódolós szemétládát. > > Ahol most tartok. Eddig gyakran ghosttal mentettem, de a szerveren ez > megbukott (be sem tudtam bootolni). Elővettem a clonezillát, amivel eddig > még keveset foglalkoztam, az efopos laptopnál kerültem vele kapcsolatba. > > Szóval van pár kérdésem ezzel kapcsolatban. > > 1. A raid-es szerveremnél a Clonezilla felismeri a tömb mindkét lemezét. Ha > mindkettőt lementeném, kellene össz. 1,5 TB hely, ami nincs. Ha az egyiket > lementem, azzal ha később vissza akarnék tölteni, akkor ráküldhetem mindkét > diskre? Vagy van olyan spéci területe a diskeknek, ami megbolondítja a > tömböt? Esetleg az elsőre rátöltsem, a tömb szétesik, majd megkérdezi a > vezérlő melyikkből állítsa vissza a tükröt? > > 2. A clonezilla képet én Windows-al fel tudom mountolni? Létezik hozzá > program? Tehát tudok így fileokat kiszedni a most lementett anyagból > > +1, ami nem clonezilla: > Vajon csinálhat még ez egy második kört? Azaz ha elkezdem piszkálni a > gépet, > lehet, hogy újraaktivizálódik és még ami megmenekült, az is kódolódik? > Ill. szerintetek mit eresszek rá, amivel meg tudnám fogni, hogy az irmagját > is kiirtsam? Fizetni úgy sem akarunk, meg nem is tudnánk... > > Zsolt > > ___ > Techinfo mailing list > Techinfo@lista.sulinet.hu > Fel- és leiratkozás: > http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo > Illemtan: http://www.szag.hu/illemtan.html > Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ > ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok" (mentek Clonezillával, de van 1-2 sötét folt)
Átírtam a tárgyat, de mivel az eredeti problémával kapcsolatos, csak azért tettem, hátha a Clonezilla guruk is jobban felkapják a fejüket rá :) > Sikerült benyelnünk egy kódolós szemétládát. Ahol most tartok. Eddig gyakran ghosttal mentettem, de a szerveren ez megbukott (be sem tudtam bootolni). Elővettem a clonezillát, amivel eddig még keveset foglalkoztam, az efopos laptopnál kerültem vele kapcsolatba. Szóval van pár kérdésem ezzel kapcsolatban. 1. A raid-es szerveremnél a Clonezilla felismeri a tömb mindkét lemezét. Ha mindkettőt lementeném, kellene össz. 1,5 TB hely, ami nincs. Ha az egyiket lementem, azzal ha később vissza akarnék tölteni, akkor ráküldhetem mindkét diskre? Vagy van olyan spéci területe a diskeknek, ami megbolondítja a tömböt? Esetleg az elsőre rátöltsem, a tömb szétesik, majd megkérdezi a vezérlő melyikkből állítsa vissza a tükröt? 2. A clonezilla képet én Windows-al fel tudom mountolni? Létezik hozzá program? Tehát tudok így fileokat kiszedni a most lementett anyagból +1, ami nem clonezilla: Vajon csinálhat még ez egy második kört? Azaz ha elkezdem piszkálni a gépet, lehet, hogy újraaktivizálódik és még ami megmenekült, az is kódolódik? Ill. szerintetek mit eresszek rá, amivel meg tudnám fogni, hogy az irmagját is kiirtsam? Fizetni úgy sem akarunk, meg nem is tudnánk... Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok"
> > kódolós mocsok nagyon sokféle van sajnos, van ami e-mail csatolmányban jön, > van ami a windows távoli asztal-ban lévő sebezhetőséget használja ki és Nekem fogott a vírusirtóm a közös levelezésben szerdán encryptes levelet 2-t. De a többieknél vagy kuka volt, vagy olvasatlanul csücsült ott. RDP-t használom a szerver elérésére. De nem a 3389-es porton. Ami ezt használja ki, felismeri, hogy másik porton közlekedem vajon? Fura egybeesés lenne a levél, ha az RDP-vel jött volna be? > Mi lett a kódolt fájlok neve? Abból megvan, hogy melyik változat és okosabb > leszel. Most nem emlékszem, a kiterjesztést cserélte le. > Lehet azért nem követel még pénzt mert még nem végzett, az is tipikus > jelenség. > És éjszaka akarja folytatni a "jótékony" cselekedetét? Azért az iskolatitkár csak 3 kódolt fileja érdekes. Most minden esetre hazahoztam, készül róla disk image, addig nem mertem piszkálni, mert ha még lapul, nehogy nagyobb kárt tegyen. Volt ott novemberi dátumú mentés, amihez nem fértem hozzá, abban bízom, hogyha majd adok jogot, akkor abban azért lesz hasznos anyag. Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] kodolos "mocsok"
Szia, kódolós mocsok nagyon sokféle van sajnos, van ami e-mail csatolmányban jön, van ami a windows távoli asztal-ban lévő sebezhetőséget használja ki és többnyire elkezdenek mindent kódolni amihez hozzáférnek, de vannak olyan típusok is amik csak a kifejezetten "fájdalmas elveszteni" típusú fájlokat bántják pl office doksik, jpg képek ilyesmi. Mi lett a kódolt fájlok neve? Abból megvan, hogy melyik változat és okosabb leszel. Lehet azért nem követel még pénzt mert még nem végzett, az is tipikus jelenség. 2021. 04. 09. 14:45 keltezéssel, Kiss Zsolt írta: Sziasztok! Sikerült benyelnünk egy kódolós szemétládát. Valaki utána járt már ennek a mechanizmusának? Ugyanis nem találjuk hol érkezhetett. Egyik gépen sem akar pénzt követelni. Ráadásul a szerveren éjszaka "gyalogolt" végig. Valamelyik gép bekapcsolva maradt, vagy a hálózaton keresztül elbújt a szerveren és utána tevékenykedett? Az a fura, nem mindent ért el, de a legérdekesebb, hogy az iskolatitkárunk saját mappájában elkapott 2-3 filet, a többi tömeg érintetlen. Azok vajon miért maradtak ki a szórásból? Végig ment a NAS-unkon is. Félre ne értsetek, ne akarunk fizetni, de legalább lenne meg a forrás, mert így teljesen sötétben tapogatódzunk. Jött olyan e-mail ami gyanús, de ahol be van állítva a levelező, ott vagy olvasatlan volt, vagy a kukába vágták alapból. Nem tudom vajon az volt-e egyáltalán a forrás, vagy valaki más magánlevelezéséből indult meg. Most következik a szerverről egy teljes imagelés, addig nem is mertem ráengedni semmit. Ráadásul én 1 hónapja vagyok itt, még nem látom át mi merre meddig. Felhőbe akartam költöztetni az adminisztrációt, ahol két kattintás lenne korábbi állapotba visszaállítani, de sajnos a vírus megelőzött. Így most előre kell venni az adatok átnézését, hátha találok valahol valami nem őskövület backupot. Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ -- Alaksza Balázs ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
[Techinfo] kodolos "mocsok"
Sziasztok! Sikerült benyelnünk egy kódolós szemétládát. Valaki utána járt már ennek a mechanizmusának? Ugyanis nem találjuk hol érkezhetett. Egyik gépen sem akar pénzt követelni. Ráadásul a szerveren éjszaka "gyalogolt" végig. Valamelyik gép bekapcsolva maradt, vagy a hálózaton keresztül elbújt a szerveren és utána tevékenykedett? Az a fura, nem mindent ért el, de a legérdekesebb, hogy az iskolatitkárunk saját mappájában elkapott 2-3 filet, a többi tömeg érintetlen. Azok vajon miért maradtak ki a szórásból? Végig ment a NAS-unkon is. Félre ne értsetek, ne akarunk fizetni, de legalább lenne meg a forrás, mert így teljesen sötétben tapogatódzunk. Jött olyan e-mail ami gyanús, de ahol be van állítva a levelező, ott vagy olvasatlan volt, vagy a kukába vágták alapból. Nem tudom vajon az volt-e egyáltalán a forrás, vagy valaki más magánlevelezéséből indult meg. Most következik a szerverről egy teljes imagelés, addig nem is mertem ráengedni semmit. Ráadásul én 1 hónapja vagyok itt, még nem látom át mi merre meddig. Felhőbe akartam költöztetni az adminisztrációt, ahol két kattintás lenne korábbi állapotba visszaállítani, de sajnos a vírus megelőzött. Így most előre kell venni az adatok átnézését, hátha találok valahol valami nem őskövület backupot. Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
