Új hozzászólás Aktív témák
-
brd
nagyúr
válasz
kraftxld
#461
üzenetére
Én a gyakorlat alatt kétféle módszert dolgoztam ki rá. Az egyik azon alapul, hogy van az ESET-nek (a NOD32 készítője, biztos ismered) egy parancssori eltávolítója (google: eset conficker remover). Ezt felhasználva - megfelelően paraméterezve - készítettem egy batchfile-t, ami lefut a machine startup-ban: az eltávolítót valami share-ről, amit minden gép tud olvasni elindítja, és a kimenetet átirányítja egy szintén közös share-en lévő file-ba (hozzáírással, >>), hogy lássam, mi a helyzet az adott géppel (beírja az időpontot, gépnevet is a kimenetbe, ill. 1x a helyi viszonyok miatt nekem a sebezhetőséget javító patch-eket is le kellett futtatnom ebből a batch-ből, mert sok gépen nem volt telepítve). Így pár újraindítással elvileg az egész hálózat gondja megoldódik (a domainvezérlő(k) se maradjanak ki a jóból!).
A másik az finomabb megoldás, van egy toolja a BitDefendernek: itt a "Network administrators" résztől érdekes. Ez a domaintag gépeken az összes gépen képes elindítani távolról az eltávolító programot, és akár újra is indítani a gépet, a keresés után, ha az a kívánatos (és az
).
Az első megoldás talán kevésbé zavarja meg a cég működését, viszont többet kell gépelni hozzá (ha gondolod, elküldöm a batch-et), az utóbbival pedig az a baj, hogy tűzfalak, beállítások megakadályozhatják a távolról futtatást, ezért kézzel vagy be kell jelentkezni az adott gépre, lehetőleg local adminnal, vagy oda kell menni hozzá. Az első megoldást én azért szeretem, mert ki sem kell menni az ügyfélhez, ha van távelérésed a serverre. (Pedig nagyon izgult egy helyen az ottani főnök, hogy menjek ki.)
Persze mindkettő megoldáshoz javasolt a domain admin(ok) jelszavának átállítása.
Javasolt ezenkívül a domainvezérlőn beállítani a Security logolást, legalább a sikertelen bejelentkezésekre, hogy lehessen látni, milyen gépek próbálkoznak még sokszor bejelentkezni rossz jelszóval (a domain admin jelszóváltoztatás után), mert ezeken a gépeken ugye még ott lesz a kártevő. Az admin share-eket egyébként javasolt a kiszolgáló servereken kikapcsolni (a klienseken is lehet, de ott szükség lehet rájuk), normál működés közben amúgy sincs rájuk szükség.
Probléma lehet még, hogy adott gépeken a helyi rendszergazda jelszava gyenge, és több gépen is ugyanez a jelszó van, akkor ezt is át kell majd állítani, ha egyszerre (vagy egyenként), nem lehet róluk eltávolítani a kártevőt. Ezt tovább súlyosbíthatja, hogy ezek esetleg nem is domaintag gépek valamiért (de használnak róluk időnként domain erőforrásokat), továbbá az, hogy esetleg nincsenek is állandóan bekapcsolva, és ezt majd el is felejtik neked mondani az ottaniak...
A harmadik megoldás általában nem opció sehol, gondolom nálad sem merült fel, mint lehetőség,
nevezetesen, hogy minden gép leáll, és hálózat nélkül, egyenként leírtani róla valamelyik tool-lal az okosságot.The only real valuable thing is intuition.
).
nevezetesen, hogy minden gép leáll, és hálózat nélkül, egyenként leírtani róla valamelyik tool-lal az okosságot.Új hozzászólás Aktív témák
- Óra topik
- Call of Duty: Modern Warfare III (2023)
- Milyen légkondit a lakásba?
- Házimozi belépő szinten
- Különleges kameraszettet kapott a Huawei Pura 70 Ultra
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Elemlámpa, zseblámpa
- Macrodroid
- Autós topik látogatók beszélgetős, offolós topikja
- Apple iPhone 15 Pro Max - Attack on Titan
- További aktív témák...
- iPad Air 10.9" - 2022, M1, Apple garancia, doboz, kék
- iPad Air 10.9" - 2022, M1, nanoSIM, Apple garancia, doboz, szürke
- Macbook Pro 16" - i9 és i7, 32/512GB, 4GB Radeon, touchbar, garancia, szürke
- Macbook Pro 15" - 2018, 6 mag i7, 16/256 GB, 4GB Radeon, 83 ciklus, garancia, ezüst (02)
- Macbook Pro 15" - 2017, 4 mag i7, 16/256 GB, 4GB Radeon, 99%, garancia, doboz, szürke