Появилась новая уязвимость в операционных системах Microsoft. 
Риску подвержены системы Vista, Windows7, 2008, 2008R2 всех версий. Возможно, в зоне риска и другие операционные системы.

Суть уязвимости: злоумышленник получает возможность установки и запуска на удаленной машине произвольного программного кода. В том числе установки сервисов.
При этом наличие фаервола и сложные пароли никак не спасают.

Массовая проблема появилась 23 апреля. Многим клиентам был внедрен CPU Miner. Программа, использующая ресурсы процессора (на сервере жертвы) для заработка денег.
Проявление: сервер тормозит и имеет высокую нагрузку на процессор.
Как выснить есть ли у вас на машине CPU Miner?
1. У вас присутствует папка вида: C:\Windows\winsxslog (штатно этой папки не должно быть).
2. В сервисах присутствует сервис (служба) без описания с именем вида: DCFOWBCA (для каждого компьютера имя сервиса и имя исполняемого файла уникально и случайно)
3. При запуске диспетчера задач нагрузка на процессор падает, а CPU Miner прячется (выгружается из памяти). 

Как остановить CPU Miner?
1. В службах у указанного сервиса изменить тип запуска с Автоматический на Отключено.
2. Остановить службу не получится.
3. Запустить диспетчер задач (тем самым остановив Miner)
4. У папки C:\Windows\winsxslog задать права NTFS, запрещающие кому либо доступ в нее.
5. Перезагрузить сервер.

Как обезопасить сервер на будущее?
- установить все обновления на операционную систему

Wednesday, April 26, 2017







« Назад