@jimquery

Какие действия предпринять при ликвидации последствий взлома через эксплойт Eternalblue?

Добрый день, сообществу.
Несмотря на прошедшую шумиху вокруг CPU-майнеров и шифровальщиков, использующих уязвимости необновляемых пользователями ОС, хотелось бы всё же услышать мнения экспертов, как избавиться от последствий взлома.
Сейчас обычно последовательность такая:
1. Подключаемся к машине локально, отключаем сеть.
1. Загруженный CPU-майнер следит за открытием диспетчера задач, поэтому вычислить его можно с помощью PowerShell. Выполнив команду Get-Process смотрим кто грузит систему, далее уже ищем нужные файлы в файловой системе и удаляем (если это точно не нужный работающий процесс).
2. Проверяем наличие "левых" работающих служб, останавливаем, переводим в состояние "Отключена", смотрим в свойствах откуда запускается, удаляем.
3. Опционально, в случае, если при удалении файл появляется заново и пока не удалось определить кто его создаёт: в свойствах файла или каталога переходим на вкладку "Безопасность", запрещаем чтение, запись, выполнение для всех пользователей и системы.
4. Брэндмауэр Windows - добавляем правило для блокировки входящих подключений. Порт 445 и вроде бы 135 или 139 (если SMB требуется для работы, после установки обновлений, думаю, можно убрать данное правило).
5. Ставим как минимум обновление безопасности MS-17-010. Можно скачать с другого компьютера и установить локально.
6. Проверяем систему антивирусом.
7. Также заметил, что на всех взломанных машинах активирована гостевая учётная запись - отключаем её.
8. Меняем пароли всех пользователей и администратора.

Вопрос собственно: а как решаете Вы эту проблему? Что ещё можете посоветовать, чтобы после выявления взлома сервер не оказался снова заражён через эту уязвимость или установленные взломщиком бэкдоры?
  • Вопрос задан
  • 453 просмотра
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы