Vypadok 12.2.2023 a strata dat?

[xmasin]

Také provozuji několik strojů s Vmwarem a první, co jsem dělal po instalaci, bylo omezení přístupu na adresu Vmwaru pouze z několika málo důvěryhodných adres, které mám pod správou. Podle všeho se jednalo o útok na OpenSLP službu věžící na Vmware hostu. Postiženy jsou všechny verze kromě 7.0U3 a vyšší.
Zálohování mám řešené obdobně, takže jdu ho předělat na lepší mimo Vmware.

[lzahradil]

Potvrzuji. Vše vypadá na vuln OSLP. Port 427 na serverech je zavřen a jak jsem zmiňoval, některé stroje nemají vůbec přístup do internetu. Mají spojení se servery jen v rámci interní MPLS/VPN.
Tzn, jediná šance je skutečně skrze ten vcenter. Ten měl samozřejmě cestu na firewallech otevřenou. Teď už je vše jinak a stále se snažím o dekryptování.
Jestli to klapne, tak potvrdím, co by blázen posláním těch 2 BTC dostal. Snad jsem blízko a ten kdo máte VMware, vemte si z tohoto průseru ponaučení ať nedopadnete stejně.

[rottenkiwi]

VMWare varovali 6. FEB.
https://www.bleepingcomputer.com/news/s ... p-service/

https://www.crn.com/news/security/ranso ... cyber-firm

[TomHC]

Aký si mal prosím patchlevel? Odporúčam si povoliť CEIP a následne Skyline Health, aby si získal odporúčania čo preventívne fixnúť. Inak moja skúsenosť (nie osobná) s platbou pri malware útoku je taká, že to reálne dokážeš dekryptovať. V pár prípadoch mali niečo pokazené na svojej strane a nevedeli dodať správny kľúč. Ale ak by sa prevalilo, že dekryptovanie nefunguje, tak by v živote neuvideli ani cent. Teda videli... bežní ľudia nevedia, nerozumejú...

[Martin P]

Jen jsem se nad tím tak zamyslel... .
My power zachránila týdenní záloha na "náhodou" vypnutém disku. Všechny jedoucí disky, které byly připojeny na centrální ovládání, byť na nich byla násobná záloha celého mypower byly napadený virem, tudíž K.O.

A teď moje úvaha: šmejdi se mohou učit a tak mohou provést útok virem "s odloženým startem". To znamená, že virusus nezačne působit hned, ale až po nějaké době, případně na povel. To pak mohou být zamořeny i zálohy na vypnutém disku, který se bude zapínat jen po dobu zálohování.
Proto mne napadlo udělat kompletní zálohu celého mypower na dva disky, které budou vypnuté. A týdenní zálohy dělat na jiné médium, kdy bude týdenní záloha vždy na jiném médiu. Pokud bych se rozhodl na zálohovací disky týdenní data z těchto médií přehrávat po důkladné kontrole a například dvou měsíční " karanténě" budu jich potřebovat cca 8 až 9 kusů. Vzhledem k tomu, že na každém médiu budu zálohovat jen týdenní objem dat mi bude stačit relativně malý objem dat na daném médiu.
Zkuste nad tím zauvažovat.
Martin P.

[cipis]

Tak já předpokládám, že se zálohuje databáze, ne systém. Tj. není důvod, aby se s tím něco stalo později. To už by musela být chyba v phpBB.
Co jsem to pochopil z vysvětlení, tak se zašifrovalo úložiště. Tedy je problém se dostat vůbec k záloze, ne samotná záloha jako taková. Tedy postačí to dát na fyzicky jiný systém, někde jinde.

[lzahradil]

k datum jako takovým uvnitř jednitlivých virtuálek se nikdo nedostal.
ty data jsou, ve virtuálkách na různých serverech zálohované. My se ale nedostaneme vůbec k těm virtuálkám.

před cca hodinou se povedlo dekryptovat jednu malinkou virtuálku na které to neustále testujeme protože je nejmenší. Je vícero mutací.

Teď dělám zálohu těch větších a pak to na nich rozjedu. Nicméně. spuštění původní už nehrozí. To by byla opět ztráta od 13-15.2.
Maximálně pak vyzkouším donahrát data z toho období 5-12, pokud to bude reálné co se týče ID v databázi phpbb.
Zda to phpbb bere podle casu prispevku, nebo podle ID, to zatím nevím. Důležité je ovšem získat zpět soubory. Protože modifikací na web proběhlo dost a hlavně tam mám i připravená data pro upgrade fóra.

Už je ze mě zombie kvůli nedostatku spánku....

[glottis]

Na fórum kašli, lidi jsou smíření a o nic moc nejde. Res co tě živí.

[cipis]

Na doplnění tohoto fóra bych se vykašlal. Je to týden, kdyžtak si lidi ještě vzpomenou, co psali, co kam dali.
To ta práce za to nestojí, vypichovat data v tom týdnu a doplňovat.
Zaměřil bych pozornost na ten upgrade, to by asi byla škoda. Nicméně je také třeba hledět na čas, aby obnova dat nebyla delší než znovuvymyslet kolo.
Tohle říkám lidem u soukromých fotek, chceš dát 20-30 tisíc za obnovu? To tam za ty prachy radši jeď znovu Ale mám zkušenosti, že ty odborné firmy, když to tam člověk nechá pár týdnů, tak přijdou klidně s poloviční cenou a to lidi už někdy i dají

[FRSO]

k datum jako takovým uvnitř jednitlivých virtuálek se nikdo nedostal.
ty data jsou, ve virtuálkách na různých serverech zálohované. My se ale nedostaneme vůbec k těm virtuálkám.

před cca hodinou se povedlo dekryptovat jednu malinkou virtuálku na které to neustále testujeme protože je nejmenší. Je vícero mutací.

Teď dělám zálohu těch větších a pak to na nich rozjedu. Nicméně. spuštění původní už nehrozí. To by byla opět ztráta od 13-15.2.
Maximálně pak vyzkouším donahrát data z toho období 5-12, pokud to bude reálné co se týče ID v databázi phpbb.
Zda to phpbb bere podle casu prispevku, nebo podle ID, to zatím nevím. Důležité je ovšem získat zpět soubory. Protože modifikací na web proběhlo dost a hlavně tam mám i připravená data pro upgrade fóra.

Už je ze mě zombie kvůli nedostatku spánku....

Ten týden co chybí nemůže nikomu vadit, napíše to znovu, zbytečná práce, raději si odpočiň, udělals hodně práce i tak, dík.

[dusanmsk]

Ja som teda pobral len tak povrchne co sa presne udialo, ale pochopil som, ze boli zasifrovane disky virtualov kde to bezi, cize vlastne image subory velke desiatky, stovky GB na strojoch kde bezi vmware. Co som nepochopil je, kam sa to zalohovalo a preco ta zaloha bola tiez zasifrovana. Resp. z popisovaneho problemu tak nejak tusim, ze sa to asi zalohovalo zase do virtualok (akurat na inej sajte). A z toho prameni problem dostat sa k zaloham

Ja osobne zalohujem linuxy pomocou borg na uplne iny kus hw (fyzicky, jeden domaci NAS a druhy firemny server) a drzim si historiu, takze by pre utocnikov bolo trosku zlozitejsie ma odrovnat. Zalohu by som mal staru par hodin z pred momentu, kedy by som sa dozvedel o utoku. Pruser by nastal samozrejme, keby zasifrovali az tie subory vnutri tych imagov, ale to nenastalo ani v tomto pripade.

Doma este trochu laskujem s proxmox (nieco ako vmware) a tam sa tiez zalohuju cele image diskov, zalohujem to ale zase na iny fyzicky stroj (nas) mimo proxmox, takze prielom do hosta by nemusel automaticky znamenat znicenie zaloh (na druhu stranu by utocnik mohol tie snapshoty na nas-e dat vymazat v proxmoxe a bol by som tiez v prdeli).

Riesenia su tazke, cokolvek co je permanentne online je rizikovejsie ako offline zaloha. Offline zaloha stara tyzden/mesiac je zase naprd pri obnove produkcnych masin. Budem nad tym musiet este trosku podumat.

[lzahradil]

ja to tu myslim popisoval. U mypower je udelana master - multi slave replikace na sql data do jinych virtualek ktere bezi na jinych fyzickych strojich a soucasne tam jede i rsync/rdiff incrementalni zalohy.
Zalohovani vsech techto fyzickych stroju pak probiha na zcela jiny fyzicky stroj. Backup server kde jsou TB dat, kam se zalohuji veskere image vsech virtualek vc. snapshotu a soucasne z vybranych take rync pro rychlejsi obnovu jednotlivych veci.
JENZE. Aby backup server nezahalel kdyz zrovna nezalohuje, bezel na nem taktez vmware pro nenarocne interni virtualky. Sice nebyl dostupny z internetu, dostanou se na nej jen servery skrze interni sit. Ovsem, vmware byl pod spravou vcenter aby veskere fyzicke stroje byly pod celkovou spravou. A prave skrze napadeny vcenter a interni sit utok prisel i tam kam se normalne nikdo dostat zvenci nemuze.
Proto lehlo vse naraz.

Mame variantu IceFire.. kryptovane soubory oznacene .iFire

nasel jsem stranku kde maji zverejnene ruzne mutace. Ta nase zatim nema decryptor.
Na jednom stroji byla primo varianta pro ESXi .args.
Tu zverejnenou zatim take nemaji ale tu se mi podarilo dekryptovat. Tam ale nic zajimaveho neni...To byla

Uplne nevim, podle toho kolik sem ted leze parazitu, ktere odmazavam, zda tu neco ohledne toho zverejnovat.

Pokud by nekdo nasel nejaky navod, napiste mi do PM at tu nezverejnujeme popis jak se snazime..

[kodl69]

hned jsem vytáhl externí disk a všecko na něj sypu. Tohle je klasická ukázka útoku ze strany, kterej nikdo nečeká. Před měsícem jsem měnil PC a ten starej zatím leží v prachu, bez jakýhokoliv zásahu, tak to je další záloha... Jo a prošel jsem si nastavení fiewallu, to snad na linuxu spolu s rozumnými nastavení práv uživatele stačí, ale kdo ví...

[lzahradil]

jedina bezpecna data ktera uznavam po tomhle utoku jsou na disku, ktery ti lezi odpojeny na stole vedle klavesnice

I kdyz vse bylo na nekolika ruznych strojich, na ruznych mistech. a vse je fuc

Ja nemam nic.. sakra, to si budu muset vymejslet i do formularu pro ESD u CTU. ALe tam stejne kazdej pise neco jen protoze musi ...

[rottenkiwi]

Toto napisal moj bratranec v knihe: https://arl4.library.sk/arl-spu/sk/deta ... -0037428-/

Ergo za 30 r. sa nic nezmenilo, mat zalohu 2 x SSD . 2 x uSD a kontrolovat
integritu dat, lebo ak budem mat 50 zaloh a v kazdej bude nejaky bit pozmeneny
tak potom budu tie zalohy nepouzitlne, hoci budu off-line.

[Matess]

taky jsem si tím prošel doma a řešil jsem to u několika zákazníků. Řešením je nemít to nasdílené tak aby do toho server viděl ale mít backup server (ideálně 2 a zálohovat do kříže) který se bude připojovat k živému serveru odkud si data bude stahovat. Dával jsem k zákazníkovi NAS který tohle přímo umí - NAS je z pohledu serveru neviditelný. (pokud by byl zájem najdu co to bylo)

Doma aplikuji levnější řešení a tím jsou 2 backup disky zapínané přes usb relé. Jen to vyžaduje ruční zálohování, protože musím ověřit že jsou data před zálohou v pořádku.

https://www.aliexpress.com/item/4000045 ... deh5v&mp=1

https://www.aliexpress.com/item/1005004 ... 1802g54C8T

Vím jak nepříjemné to je... drž se admine.

[fugas]

Stroje se občas pokazí. Tohle je názorný příklad, jak jsme v té nezávislosti závislí, zvyklí že systém funguje. Ztráta týdnu příspěvků, z nichž minimálně polovina je tu někde už stoosmašedesátkrát za ta léta napsána, vyvolá diskuzi

[lzahradil]

Pánové, tak jsem si dal další nonstop jízdu u PC.
Přes noc jsem nainstaloval další stroje s tím že je počítáno i s případem který se stal.
Když jsem se kochal že vše konečně funguje, zjistil jsem že skripty které aktualizují eshop od dodavatelů nefungují. Začal jsem zjišťovat proč... a v podvědomí že schází něco doinstalovat jsem se do toho pustil, až jsem to viditelně celé rozdrbal
Od té doby doteď jsem se to snažil opravit. Drbu se s tím celý den.
Vracel jsem zpět funkční konfigurační soubory z předešlého dne pro apache, php, kontroloval oprávnění, dokonce i přehrál celý obsah www a nic...
Stále dostávám u některých věcí error 500 a nedokážu identifikovat odkud protože logy jsou totálně plné a neustále se plní, někdo opět útočí. Díky tomu se negenerují některé javascriptové části hlavní stránky a ta nefunguje tak jak má.
Ověřil jsem si, že v předešlém snapshotu vše funguje a proto jej nasadím.
Bude to ale znamenat řízené stopnutí databáze abych mohl aktuální přetáhnout.

Zjednodušeně řečeno, vytvořím max cca 15min výpadek.

Vzhledem k tomu, že drobné výpadky tvořím dnes celý den , naplánoval bych to na 18hod aby si to tu ještě někdo stihl také přečíst. Další noc už nedám a zítra musím jít už také do práce nebo mě vykostí...

Pak už bude snad vše OK

[lzahradil]

Sakra, přetáhl jsem JSME ZPĚT, a viditelně i funkční. Ještě syncnu přílohy..

[Plazivec]

Vůbec nevadí, zdříml jsem si v křesle.