Ahoj,
mám palčivý problém. Zkusím ho co nejpřesněji popsat.
V kanceláři se objevil Covid a zaměstnavatel nás poslal domů. Přivezl jsem si tedy pracovní stolní PC a pracovní notebook domů (Stolní budeme odevzdávat proto dva PC). Notebook jsem připojil do routeru (ASUS WL-520GC) ale stolní PC jsem kvůli nedostatku míst musel připojit ve vedlejší místnosti kde mám jen zásuvku. Byl tak připojený přímo do optického routeru do kterého je zapojené optické vlákno od poskytovatele. A tady začali problémy.
Notebook nehlásil nic, zato na PC jsem dostával jedno upozornění za druhým:
System Infected: Miner Bitcoin.Miner activity 9x detected
OS Attack: Microsoft SMB MS17-010. Disclosure Attempt detected
Spustil jsem Symantec a nechal projet Full Scan. Žádné nálezy. Pár dnů na to jsem měl ale velice "příjemný" telefon z práce od IT. No problém biblických rozměrů. Oba PC jsem musel obratem odevzdat a to i přesto, že notebook nic nehlásil. Důvod byl ten, že další bezpečnostní program zjistil infekci i tam a začal posílat automatické email s jménem PC správci IT.
Ze zajímavosti jsem zkusil připojit můj soukromý PC stejně jako pracovní. Čili přímo bez routeru. Stejně jako předtím Symantec na pracovním i na soukromém se mě Avast zbláznil a začal co pár vteřin křičet: Přerušené spojení s "smb://1.52.30.8/nsa:cve-2017-0144_EthernalBlue" zjištěna infekce "SMB:CVE-2017-0144"
Nevíte někdo co s tím? Pokud s tím nic neudělám tak můžu na HomeOffice zapomenout a budu muset jít na 60% pokud nás zase vedení pošle domů. A jak to že se problém objeví jen pokud je PC připojený bez routeru?
Miner Bitcoin.Miner activity
-
- Level 2
- Příspěvky: 212
- Registrován: červenec 09
- Bydliště: Olomouc
- Pohlaví:
- Stav:
Offline
- ITCrowd
- Tvůrce článků
-
Guru Level 13.5
- Příspěvky: 23610
- Registrován: březen 10
- Pohlaví:
- Stav:
Offline
Re: Miner Bitcoin.Miner activity
Především - okamžitě vyhoď tu plečku a pořiď si router, který vyhoví dnešním bezpečnostním standardům. Počítes s cenou minimálně 2500.
Dále navštiv zdejší sekci HJT pro odblešení toho tvého PC - pečlivě si prostuduj návod v sekci!
A po odblešení odpoj všechna zařízení od své sítě (mobily, tablety, tv, nas) a nech pc běžet, zda se problém projeví. Teprve poté zapni wifi routeru, změň SSID a heslo a každý den připoj jedno wifi zařízení. A sleduj, zda se po připojení něco neozve.
Ty si platíš dvě IP adresy?
Dále navštiv zdejší sekci HJT pro odblešení toho tvého PC - pečlivě si prostuduj návod v sekci!
A po odblešení odpoj všechna zařízení od své sítě (mobily, tablety, tv, nas) a nech pc běžet, zda se problém projeví. Teprve poté zapni wifi routeru, změň SSID a heslo a každý den připoj jedno wifi zařízení. A sleduj, zda se po připojení něco neozve.
Ty si platíš dvě IP adresy?
Zkusili jste to vypnout a zapnout? Problémy řeším pouze v tématech. Do SZ mi proto píšete zbytečně.
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router
Re: Miner Bitcoin.Miner activity
Nakaza ale nebyla na PC ktere bylo pripojene do toho routeru, byla na PC ktere bylo mimo router
zapojeno primo do netu do zarizeni poskytovatele.
Jestli bylo neco nakazeno, tak zarizeni poskytovatele (a nebo to spis neni vubec router/firewall, takze zarizeni
je primo bez dalsi ochrany na netu).
V kazdem pripade mam velice vazne pochybnosti o zamestnavateli a jeho zabezpeceni firemnich zarizeni,
pomineme-li uz to, ze dovolil aby stolni pocitac opustil firmu (coz uz samo je bezpecnostni incident), tak se mi
nejak nezda jak na aktualizovane a firewallem chranene Windows 10 se muze dostat takovahle potvora jen
tim ze se PC pripoji na net.
Patch ktery opravuje tuhle chybu v SMB protokolu vysel na zacatku roku 2017, jaktoze neni na firemnich
pC nainstalovan ? Ze domaci PC neni aktualizovane me neprekvapuje.
zapojeno primo do netu do zarizeni poskytovatele.
Jestli bylo neco nakazeno, tak zarizeni poskytovatele (a nebo to spis neni vubec router/firewall, takze zarizeni
je primo bez dalsi ochrany na netu).
V kazdem pripade mam velice vazne pochybnosti o zamestnavateli a jeho zabezpeceni firemnich zarizeni,
pomineme-li uz to, ze dovolil aby stolni pocitac opustil firmu (coz uz samo je bezpecnostni incident), tak se mi
nejak nezda jak na aktualizovane a firewallem chranene Windows 10 se muze dostat takovahle potvora jen
tim ze se PC pripoji na net.
Patch ktery opravuje tuhle chybu v SMB protokolu vysel na zacatku roku 2017, jaktoze neni na firemnich
pC nainstalovan ? Ze domaci PC neni aktualizovane me neprekvapuje.
- ITCrowd
- Tvůrce článků
-
Guru Level 13.5
- Příspěvky: 23610
- Registrován: březen 10
- Pohlaví:
- Stav:
Offline
Re: Miner Bitcoin.Miner activity
"Oba PC jsem musel obratem odevzdat a to i přesto, že notebook nic nehlásil. Důvod byl ten, že další bezpečnostní program zjistil infekci i tam a začal posílat automatické email s jménem PC správci IT"
Jednoznačně uvedeno, že nakaženy byly OBA pracovní PC, přičemž to druhé neukazovalo zprávy, ale posílalo emaily.
Osobně se domnívám, že onen asus není router, ale jen AP, tím pádem se počítače nakazily od zařízení uvnitř sítě. (proto otázka, zda si platí 2 IP adresy).
A záplata je k ničemu když má BFU práva a infekci si do mašiny pustí.
A kromě toho ta chyba v SMB, kterou popisuješ, se týkala W8 a W server2012. Windows 10 se netýká.
A kde jsi vzal, že stolní PC doma je bezpečnostní incident? My řešíme vše tak, že na PC je jen zabezpečený systém a vpn klient. Pokud se pracuje z domu, tak přes vpn na terminál, kde si otevře svou plochu a může pracovat. Z tohoto hlediska je úplně jedno, zda je doma notebook, nebo stolní PC.
Za mě jednoznačně chyba BFU a má štěstí, že ho rovnou nevyhodí.
Jednoznačně uvedeno, že nakaženy byly OBA pracovní PC, přičemž to druhé neukazovalo zprávy, ale posílalo emaily.
Osobně se domnívám, že onen asus není router, ale jen AP, tím pádem se počítače nakazily od zařízení uvnitř sítě. (proto otázka, zda si platí 2 IP adresy).
A záplata je k ničemu když má BFU práva a infekci si do mašiny pustí.
A kromě toho ta chyba v SMB, kterou popisuješ, se týkala W8 a W server2012. Windows 10 se netýká.
A kde jsi vzal, že stolní PC doma je bezpečnostní incident? My řešíme vše tak, že na PC je jen zabezpečený systém a vpn klient. Pokud se pracuje z domu, tak přes vpn na terminál, kde si otevře svou plochu a může pracovat. Z tohoto hlediska je úplně jedno, zda je doma notebook, nebo stolní PC.
Za mě jednoznačně chyba BFU a má štěstí, že ho rovnou nevyhodí.
Zkusili jste to vypnout a zapnout? Problémy řeším pouze v tématech. Do SZ mi proto píšete zbytečně.
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router
-
- Level 2
- Příspěvky: 212
- Registrován: červenec 09
- Bydliště: Olomouc
- Pohlaví:
- Stav:
Offline
Re: Miner Bitcoin.Miner activity
Pracovní PC - Win 7. Připojený přímo na internet. Symantec hlásil infekci přímo mě ještě posílal emaily správci IT s problémem a jménem PC.
Pracovní Notebook - Win 10. Připojený přes zmíněný router. Symantec nic nehlásil ale posílal emaily správci IT s problémem a jménem PC.
Můj soukromý PC - Win 7. Připojený přes zmíněný router. Avast nic nehlásil. V momentě připojení přímo na internet (stejně jak u pracovního PC) začal křičet stejně jako Symantec.
Dvě IP adresy? Přiznám se, že v tomto se vůbec nevyznám. Předpokládám, že poskytovatel pouští internet na jednu adresu do optického routeru. Co mám za tímto bodem ho podle mě nezajímá.
Btw, admin práva nemáme na vůbec nic. Nenainstalujeme si ani ovladače na tiskárnu bez admina.
Pracovní Notebook - Win 10. Připojený přes zmíněný router. Symantec nic nehlásil ale posílal emaily správci IT s problémem a jménem PC.
Můj soukromý PC - Win 7. Připojený přes zmíněný router. Avast nic nehlásil. V momentě připojení přímo na internet (stejně jak u pracovního PC) začal křičet stejně jako Symantec.
Dvě IP adresy? Přiznám se, že v tomto se vůbec nevyznám. Předpokládám, že poskytovatel pouští internet na jednu adresu do optického routeru. Co mám za tímto bodem ho podle mě nezajímá.
Btw, admin práva nemáme na vůbec nic. Nenainstalujeme si ani ovladače na tiskárnu bez admina.
- ITCrowd
- Tvůrce článků
-
Guru Level 13.5
- Příspěvky: 23610
- Registrován: březen 10
- Pohlaví:
- Stav:
Offline
Re: Miner Bitcoin.Miner activity
Ten optický router je co zač?
Zkusili jste to vypnout a zapnout? Problémy řeším pouze v tématech. Do SZ mi proto píšete zbytečně.
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router
-
- Level 2
- Příspěvky: 212
- Registrován: červenec 09
- Bydliště: Olomouc
- Pohlaví:
- Stav:
Offline
Re: Miner Bitcoin.Miner activity
Hmm. No já právě nevím jak se to jmenuje přesně. V mém jazyku blbého je to "ta krabička" do které připojíš optické vlákno a poté z toho vyvedeš už obyčejný ethernetový kabel. 2x pro internet a 2x pro TV. Většinou to je v ceně připojení. Dává to poskytovatel internetových služeb.
- ITCrowd
- Tvůrce článků
-
Guru Level 13.5
- Příspěvky: 23610
- Registrován: březen 10
- Pohlaví:
- Stav:
Offline
Re: Miner Bitcoin.Miner activity
Na té krabičce je to napsáno.
Co máž za poskytovatele a službu?
A skutečně do toho jde optika?
Co máž za poskytovatele a službu?
A skutečně do toho jde optika?
Zkusili jste to vypnout a zapnout? Problémy řeším pouze v tématech. Do SZ mi proto píšete zbytečně.
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router
- ITCrowd
- Tvůrce článků
-
Guru Level 13.5
- Příspěvky: 23610
- Registrován: březen 10
- Pohlaví:
- Stav:
Offline
Re: Miner Bitcoin.Miner activity
Vypdá to takto: https://www.czc.cz/mikrotik-routerboard ... 60/produkt
Nebo spíš takto: https://www.cnews.cz/wp-content/uploads ... 1312-2.jpg
Nebo spíš takto: https://www.cnews.cz/wp-content/uploads ... 1312-2.jpg
Zkusili jste to vypnout a zapnout? Problémy řeším pouze v tématech. Do SZ mi proto píšete zbytečně.
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router
- ITCrowd
- Tvůrce článků
-
Guru Level 13.5
- Příspěvky: 23610
- Registrován: březen 10
- Pohlaví:
- Stav:
Offline
Re: Miner Bitcoin.Miner activity
Uživatelská práva máš, jinak by ses do toho počítače vůbec nedostal. A ty na spuštění (škodlivého) kódu stačí.DarkKnight píše:Btw, admin práva nemáme na vůbec nic. Nenainstalujeme si ani ovladače na tiskárnu bez admina.
Zkusili jste to vypnout a zapnout? Problémy řeším pouze v tématech. Do SZ mi proto píšete zbytečně.
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router
-
- Level 2
- Příspěvky: 212
- Registrován: červenec 09
- Bydliště: Olomouc
- Pohlaví:
- Stav:
Offline
Re: Miner Bitcoin.Miner activity
Je to od ZTE. Hromada čínského písma. Myslím že typ je ZXHN F660
Tohle by mělo být ono: https://www.google.com/search?q=ZTE+ZXHN+F660&hl=cs&sxsrf=ALeKk02xQW-UdF1Ow72Gay99yZTYjcZVdw:1597218745831&source=lnms&tbm=isch&sa=X&ved=2ahUKEwiv4uS_l5XrAhXN2aQKHeLcBOQQ_AUoAXoECAwQAw&biw=1680&bih=907#imgrc=3EhxOhw9mXQpOM
Poskytovatel je Nej.cz (dříve Riomedia.cz) Služba: Nej NET TV XXL up
Tohle by mělo být ono: https://www.google.com/search?q=ZTE+ZXHN+F660&hl=cs&sxsrf=ALeKk02xQW-UdF1Ow72Gay99yZTYjcZVdw:1597218745831&source=lnms&tbm=isch&sa=X&ved=2ahUKEwiv4uS_l5XrAhXN2aQKHeLcBOQQ_AUoAXoECAwQAw&biw=1680&bih=907#imgrc=3EhxOhw9mXQpOM
Poskytovatel je Nej.cz (dříve Riomedia.cz) Služba: Nej NET TV XXL up
Re: Miner Bitcoin.Miner activity
Pracovni PC s Windows 7 a bez aktualizaci ? Tomu clovekovi z IT vyrid, at da vypoved, protoze toto je jeho chyba
a ne tvoje a na tom trvam. Dali ti domu pocitac, ktery predstavuje bezpecnostni riziko a neni tvoje prace ho resit.
Sorry jako, ale JEHO prace je pocitace zabezpecit kdyz uz neni schopen na ne dat podporovany operacni system.
Klidne s tim jdi za jeho nadrizenym - dostals neaktualizovany pocitac s Windows 7 a ted na tebe svadi, zes ho
nakazil, i kdyz byla jeho zodpovednost toto resit. Pokud nemas admin prava, nemas to ani jak resit.
1. Windows 7 nemaji v roce 2020 co delat na pracovnim PC, nemaji uz zadnou podporu od MS
2. nemaji nainstalovany patch z brezna 2017 ktery vice nez 3,5 roku tento problem resi
Tvuj domaci PC bude mit stejny problem - neni aktualizovan, ten patch vysel davno pred ukoncenim podpory W7.
Tomu vasemu "itakovi" rekni at ti tam nainstaluje Windows 10, aktualizovane a zabezpecene a pak teprve si to
vezmi domu. Protoze ty nezabezpecene W7 jdou za IT oddelenim, ne za tebou.
a ne tvoje a na tom trvam. Dali ti domu pocitac, ktery predstavuje bezpecnostni riziko a neni tvoje prace ho resit.
Sorry jako, ale JEHO prace je pocitace zabezpecit kdyz uz neni schopen na ne dat podporovany operacni system.
Klidne s tim jdi za jeho nadrizenym - dostals neaktualizovany pocitac s Windows 7 a ted na tebe svadi, zes ho
nakazil, i kdyz byla jeho zodpovednost toto resit. Pokud nemas admin prava, nemas to ani jak resit.
1. Windows 7 nemaji v roce 2020 co delat na pracovnim PC, nemaji uz zadnou podporu od MS
2. nemaji nainstalovany patch z brezna 2017 ktery vice nez 3,5 roku tento problem resi
Tvuj domaci PC bude mit stejny problem - neni aktualizovan, ten patch vysel davno pred ukoncenim podpory W7.
Tomu vasemu "itakovi" rekni at ti tam nainstaluje Windows 10, aktualizovane a zabezpecene a pak teprve si to
vezmi domu. Protoze ty nezabezpecene W7 jdou za IT oddelenim, ne za tebou.
Zpět na “Viry, antiviry, firewally…”
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host