Это пиздец.Вчера запускаю нетстат и вижу соединение https в EC2. Ничего, что могло бы делать туда соединения либо нет (облачные хранилища, телеметрия) либо не было запущено (браузер). По видимому нас взломали.На другом компе тоже непонятные соединения. Запускаю вайршарк и вижу кучу соединений от shodan и rapid7 и прочих сканеров фирм по кибербезопасности. Как ни странно, https соединений в логе вайршарка нет. По-видимому файвола вообще нет. Неудивительно - админа вообще нет, на компах windows xp, пользуются ими компьютерно-неграмотные люди, которые меня пошлют, если я заикнусь об инциденте, обновиться нельзя - дров нет для специфического оборудования ни под более позние винды, ни тем более под линукс. Почему до сих пор не схватили wannacrypt - большой вопрос. Если схватим - результаты моей работы по пизде пойдут.Как реагировать? Что делать?
>>2058126 (OP)>Почему до сих пор не схватили wannacrypthttps://geektimes.ru/post/289665/
>>2058129bsoda не было
>>2058126 (OP)А как обеспечен выход сети предприятия в Интернет? У каждого клиента соединение типа pptp/l2tp/pppoe или весь трафик через NAT идет хотя как я понял первый вариант здесь более вероятен. Если первый вариант, то надо включить файерволл на ПК, тогда большинство атак не удастся. То что ты увидел эти соединения еще не значит, что ПК в сети взломали. Возможно, были пока только запущены модули типа auxiliary со стороны взломщиков
>>2058126 (OP)> запускаю нетстат и вижу соединение https в EC2Ну а -p ты ему написал, чтобы посмотреть, кто соединяется?
>Ну а -p ты ему написал, чтобы посмотреть, кто соединяется? Написал. Но им скорее всего будет похуй, так как пруфов нет, одни подозрения.>А как обеспечен выход сети предприятия в Интернет? У каждого клиента соединение типа pptp/l2tp/pppoe или весь трафик через NAT идет хотя как я понял первый вариант здесь более вероятен.Нет никаких vpn, просто провод в комп втыкаешь - и есть инет. Но то что внутренняя сеть сканируется всякими шоданами и rapid7 (разработчики metasploit) - это какой-то пиздец. Мне кажется, что любые порты, что не должны висеть наружу, должны быть зафильтровано файрволом, а шодан и ему подобные фирмы - зафильтрованы по подсети.
>>2058300Если честно, способ подключения к Интернету ты хреновато описал, но попытаюсь сыграть в телепата и предположить что это таки роутер с NAT. Тогда выходит 3 варианта:1. Кто-то пытается взломать из локальной сети.2. Кто-то пытается взломать из Интернета т.е. они ломанули роутер с NAT`ом.3. Кто-то пытается взломать из Интернета т.е. они методом соц. инженерии прислали кому-нибудь из пользователей вирус прикрепленный к какому-нибудь экзешнику или документу Microsoft, пользователь открыл присланное и с помощью pivot злодеи пытаются компроментировать всю сеть.Лучше пришли выхлоп netstat -a.
>>2058300> им скорее всего будет похуйКому им? Что будет похуй? Алкаш, вывод нетстата с этим ключом нужен нам.
>>2058126 (OP)>Неудивительно - админа вообще нет, на компах windows xp, пользуются ими компьютерно-неграмотные люди, которые меня пошлют, если я заикнусь об инцидентепочему тебе не похуй? руководству похуй, похуй должно быть и тебе. или ты местный эникейшик?
>>2058187>Ну а -p ты ему написал, чтобы посмотреть, кто соединяется? >Написал. Но им скорее всего будет похуйШизик, речь шла о параметре -p к netstat.
>>2058720Это в foxit reader была скрытая неочевидно отключаемая (оказывается отключения и удаления плагина недостаточно) телеметрия.
>>2058899>На другом компе тоже непонятные соединения. Запускаю вайршарк и вижу кучу соединений от shodan и rapid7 и прочих сканеров фирм по кибербезопасности.А как же это?
>>2058942А это - отдельный пиздец в локалке. Админа же нет. Вернее он есть - кто-то же эту локалку протянул - но какой же это админ, если файрвол не настроил?