k0st0chka

k0st0chka

14 лет специализируюсь на работе с айти Сайт моей компании https://ihelpit.spb.ru/ Я в тг https://t.me/k0stochka Люблю качественную работу и всегда готов подсказать, как сделать круто
Пикабушник
6000 рейтинг 54 подписчика 48 подписок 6 постов 4 в горячем
Награды:
Сборщик Пыли С Днем рождения, Пикабу!

"Эс как доллар"

Когда обслуживаешь серверы, иногда нужно приехать в ЦОД (центр обработки данных). Такое специальное место с правильным электричеством, охлаждением и - ограниченным доступом. Бывает, что в зал не пускают, но вот в этом ЦОДе (подешевле) - пускают.

Звоню в поддержку, оставить заявку на посещение. Трубку берёт барышня.

- Добрый день, компания company_name, хотим завтра приехать к серверам на работы.
- Добрый, назовите ИНН.
- [ИНН]
- Что хотите сделать?
- У нас договор на размещение оборудования, приехать на работы.
- Сейчас уточню информацию.
[...]
- Спасибо за ожидание. Вам нужно отправить заявку на почту "визит".
- Визит - через z, как презервативы?
- В смысле?!
- Ну, пишется, как марка презервативов?
- [Пауза] Ээээ... Нет! Через эс.
- Тогда ведь получается - "висит"?
- [Пауза ещё дольше, неуверенно] Да... Наверно.
- Спасибо!

Написал, на всякий случай, на оба адреса. Судя по отсутствию отбивок - есть и "визит", и "висит" .

Показать полностью

Топ-12 причин геморроя с IT

Обслуживаю IT инфраструктуру больше 14 лет, собрал список типичных причин геморроя:

-Никто не знает кто за что отвечает. 5 начальников, которые руководят одним и тем же, спорят между собой, перебивают друг друга решениями.

- Низкая квалификация админа / околоадмина. Сотрудники не умеют настраивать домены, работать с безопасностью. Обычно, их полномочия: заправка картриджей, замена мышек. Если что-то случилось - увольняют и ищут следующего такого же. Бывает, что после смены нескольких админов подряд уже никто не знает, что есть и как работает. А если админ низкоквалифицированный - все его решения проблем это перезагрузки

- Нет инвентаризации и какого-то описанного плана обновления парка техники. Например, директор не в курсе сколько компьютеров в компании, на балансе что-то есть, чего-то нет. Кто и когда покупал никто не помнит. Никто не знает и не планирует когда менять мониторы, периферию.

- Сотрудники саботируют изменения. Начиная от саботажа по регламентам и кончая специальной порчей техники. Даже на пикабу был пост, где вместо заявки на замену ноута его просто сожгли, чтобы поменяли поскорее.

- Непрофильные задачи. Админ может заказывать кофе в офис, следить за  работой холодильника, неделю монтировать видеонаблюдение на даче директора. Из недавней практики: ночью на территории работали иностранные специалисты, меняли кабель связи, а админа поставили стеречь, чтобы ничего не украли. 

- "А чем он там занят?". Стараются админа загрузить любой работой, лишь бы не сидел без дела. Отчеты бухгалтерии, настройки crm, лампочки на входе. Если не получается придумать - хоть отчёт пиши ежедневный, только не занимайся самообучением сиди просто так.

- Ничего не задокументировано. Абсолютно, полная анархия. Даже в крупных компаниях на 200-300 рабочих мест.

- Нет никакого корпоративного обучения админа. Как обучился 10 лет назад - так и работает, про технологии не в курсе, да и не интересуется.

- Чрезмерное использование технологий для микрокомпаний: компания в 10 сотрудников хочет Exchange и Sharepoint, 1с, телефонию на своих серверах, и всё в отказоустойчивом кластере!

- Боязнь делегировать. Админ советует одно, а руководитель делает по-своему. Получается хрень.

- Постановка ТЗ не на результат, а на процесс. Например, "поставьте нам этот софт и научите пользоваться". Поставили, научили, теперь претензия: оказывается есть лучше, зачем ставили этот.

-  Хроническое недофинансирование. Дешевые медленные компьютеры, самые дешевые мониторы, которые бесят пользователей и ломают им глаза, медленные серверы и часовые ожидания сборки отчета в 1с. Казалось бы, цена вопроса - 0.5% оборота компании месячного, чтобы решить проблему раз и навсегда, но нет, если можно сэкономить - экономим.

Показать полностью

Как Геннадий нехорошим оказался2

Есть у меня клиент один, очень приятный мужчина, пусть будет Михаил , около 55 лет, в 90-е служил в армии, но когда кушать стало нечего не выдержал и "ушел в бизнес".

С тех пор потихоньку работал, добра наживал.

В офисе скромно, хотя бизнес немаленький. Познакомились мы с ним лет 7 назад, да с тех пор и обслуживаем его айтишную часть офиса. То компы обновить, то 1с подправить, стандартная рутина.

Не в этом суть. Так вот в один раз разговорились насчет бизнеса, зарплат, кадров и пр. И поведал мне Михаил печальную историю, что, мол, есть у него небольшая лесопилка в пригороде, да с кадрами не везет. Все время то пропадают, то воруют, никак не получается с кадрами решить вопрос.

Говорю : может причина то в начальстве, а не в сотрудниках.

Нет, говорит, лесопилкой уж 8 лет брат занимается двоюродный, в нем уверен на сто процентов.

Говорю: а камеры что показывают?

Говорит, думал про это, стоят ведь камеры, да как-то спросил у брата, а тот обиделся что его чуть ли не вором называют.

Предложил сделать так: приехать на лесопилку в выходной, заменить жесткий диск в архиве видеонаблюдения, а диск в офисе посмотрит.

Спасибо, подумаю, сказал он.

А через некоторое время через сотрудника, которому и поручил директор просмотреть двух недельный архив, узнал много интересного:

- в зоне расчета камера с микрофоном и там раз через раз почему то не работала онлайн касса и Геннадий просил скинуть деньги ему на карту, а не в кассу.

- в зоне погрузки работало двое, а не четверо сотрудников как было по бумагам:

В итоге, по скромным оценкам, только за год было украдено не меньше 4 млн руб. Состоялся неприятный разговор, в котором братец хлопнул дверью и обиделся, что ему не доверяют, сказал что если и брал, то для справедливости, потому что у Михаила все есть, а Гене приходится экономить на всем, а он тоже хочет на бали и в тайланд!

Так у Михаила не стало брата, как выразился сам Михаил.

Вот так Геннадий не прошел проверку завистью и деньгами.

Совет: ставьте камеры, делайте бэкапы и вообще следите за it в компании.

Показать полностью

Продолжение поста «Как мы победили вирус-шифровальщик, потратив 7000 рублей»1

В комментах напихали полную панамку, поэтому немного деталей:
1. Изначально червь, который установил Mimikatz
2. Миша работал всегда из под своей единственной УЗ с правами доменного администратора
3. Когда Mimikatz дискредитировал его данные, он проник на ВМ и хосты, после чего в ночь с пятницу на субботу в 21.00 запустил шифровальщика.
4. Шифровальщик действовал умно, поэтому сначала шифровал данные внутри виртуальных машин, а потом уже начал шифровать диски самих виртуальных машин на хостах, после чего - самоудалялся.
5. Долгое время ушло у него на шифрование, т.к. на файловом сервере были сотни тысяч мелких файлов (а мощностей файловому серверу было выделено мало).
6. Теневые копии данный шифровальщик, так же удалил
7. Все SMB шары были не скрытыми, поэтому вирусу было легче действовать.

Теперь отдельно про утилиту от dr web.

Нам прислали утилиту с названием te225decrypt. GUI у него и есть, и нет, при запуске указывается ключ дешифровки и корневая папка с зашифрованными файлами, далее ПО - рядом с зашифрованным файлом, кладет расшифрованный.

Выглядит так:

Продолжение поста «Как мы победили вирус-шифровальщик, потратив 7000 рублей» Клиенты, Информационная безопасность, IT, Вирусы-шифровальщики, Сисадмин, Будни сисадмина, Мат, Длиннопост, Ответ на пост

погуглив на этот счет нашел на их сайте в открытом доступе https://vms.drweb.ru/te858decrypt/

https://download.geo.drweb.com/pub/drweb/tools/te225decrypt....
Интерфейс выглядит так:

Продолжение поста «Как мы победили вирус-шифровальщик, потратив 7000 рублей» Клиенты, Информационная безопасность, IT, Вирусы-шифровальщики, Сисадмин, Будни сисадмина, Мат, Длиннопост, Ответ на пост
Показать полностью 2

Как мы победили вирус-шифровальщик, потратив 7000 рублей1

Как и обещал, делюсь с вами историей на реальных событиях.

Позвонил нам с паникой в голосе Сергей Петрович (имя изменено). Некоторое время назад мы им ставили почтовый кластер. Это была разовая работа, и с тех пор мы о них не слышали.

Сергей Петрович поведал печальную историю: сервера упали, штатный сисадмин Миша в отпуске, на звонки не отвечает. Читает сообщения, но на связь не выходит. Что делать - непонятно, куда бежать - неизвестно. В общем, думайте сами, решайте сами.

Как мы победили вирус-шифровальщик, потратив 7000 рублей Клиенты, Информационная безопасность, IT, Вирусы-шифровальщики, Сисадмин, Будни сисадмина, Мат, Длиннопост

Мы подключились к проблеме в 20.00 и обнаружили шифровальщик. Наиболее вероятно, что проник на ПК офис-менеджера через ВПН, потом попал на комп админа, где были сохранены пароли от всего и всех.

Так как админа нет на связи, то алерт от фаерволла на почте никто не увидел (перевод с непонятноайтишного: есть "железка", которая изучает, что приходит из интернета, может найти вирус и отправить предупреждение).

В результате шифровальщик радостно трудился 6 часов, пока кто-то не заметил проблему. Единственное, что смогли сделать - выключить серверы из розетки и пришли к нам.

Что делали

Загрузили серверы с чистых дисков, запустили виртуальные машины (которые остались живые), отключив их от сети.

Шифровальщик уже успел самоуничтожиться, а антивирус ничего не нашёл. Самое неприятное было в том, что сервер резервных копий был в домене (один пароль подходит ко всем серверам) и резервные копии тоже были зашифрованы.

Тем временем в компании клиента:

Как мы победили вирус-шифровальщик, потратив 7000 рублей Клиенты, Информационная безопасность, IT, Вирусы-шифровальщики, Сисадмин, Будни сисадмина, Мат, Длиннопост

На следующий день переподняли сервер телефонии и одну уцелевшую ноду почтового кластера.

Нашли на одном из ПК бухгалтерскую базу от января (а дело происходило в мае). Восстановление бухгалтерии по первичке за этот период оценивалось в пару месяцев адско горящих жоп или полтора миллиона рублей, если привлечь аутсорс, поэтому стали думать дальше.

На некоторых серверах не было антивируса, на некоторых стоял лицензионный Касперский. Попробовали связаться с Касперским, но они ничего толком не ответили.

Связались с Dr. Web. Они попросили пару файлов: зашифрованный и незашифрованный, мы нашли пяток таких пар, отправили. Через пару дней они написали, что данные удалось расшифровать.

Мы ожидали счёт на пол ляма, а они предложили купить лицензию на три ПК за 7 000 рублей. Купили. После чего они прислали утилиту расшифровки с ключами, которая расшифровала 95% всей информации. Причём, как оказалось, было пять разных сеансов шифрования, то есть пять разных ключей. И вот, нам прислали все.

Как мы победили вирус-шифровальщик, потратив 7000 рублей Клиенты, Информационная безопасность, IT, Вирусы-шифровальщики, Сисадмин, Будни сисадмина, Мат, Длиннопост

- Не держите бэкапы в домене. Сервер должен иметь свои доступы.

- Делайте офлайн копию. Лучше иметь отдельный аккаунт с уникальным логином и паролем. В этот аккаунт ежемесячно делаем дополнительные бэкапы и сохраняем архивы баз данных 1С.

- Админский пароль. Делаем отдельный админский пароль для административных действий, а работать админу нужно под правами обычного пользователя.

- Ставим Zabbix, чтобы отслеживать внезапные перезагрузки и/или резкое уменьшение свободного места. Помогает видеть нетипичное поведение и выявлять на ранних стадиях проблемы.

- Ставим тикет-системы и алерты в телеграм. Чтобы админ не проёб…пропускал важные уведомления.

Через 5 дней админ (Миша) появился в офисе и удивился, что всё работает. Спросил как так, ведь он рассчитывал выйдя из отпуска приступить к исправлениям. Сергей Петрович спросил:

- Миша, как же так? У нас вся работа во всех филиалах просто встала, убытки, контракты, а ты даже не позвонил, чтобы подсказать что делать!

Михаил отвечает:

- У меня законный отпуск 14 дней, имею право.

Миша большой молодец, потому что должность Миши была сокращена в компании, а у нас +1 клиент на ведении, причем вполне адекватный.

Если что я в тг: https://t.me/k0stochka

Показать полностью 3

Топ-5 причин попадания вирусов-шифровальщиков в компанию

Всем привет, много лет занимаюсь сисадминством, после сдека решил написать пост на эту тему. Стабильно раз в пару недель приходят клиенты с этой проблемой, кому-то будет полезно знать как не попасть как сдек )

1. Звонок из налоговой

Бухгалтеру позвонили с налоговой и попросили в срочном порядке заполнить какой-то статистический отчет. Бухгалтер открывает письмо, внутри екселька. Запускает эксельку, антивирус ругается, отключает антивирус, письмо же из налоговой. Внутри пустая табличка, через 10 минут комп ребутится, вылазит окно шифровальщика.

2. Письмо re:

Так происходит большинство заражений. Сотрудник получает электронное письмо, которое выглядит как ответ на его письмо с прикрепленным файлом типа “дополнительная информация в приложении.”
Рассылки массовые, работают на самых самых дремучих юзеров, которые куда можно и нельзя.

3. Открытый RDP ("удалёнка") у бухгалтера

Главный бухгалтер - главный кандидат на удалённый доступ. "Лучше всего", конечно, выставить сервер с 1С напрямую в интернет, с паролем "12345". Как-то мы на первом визите-аудите прям показали клиенту, как "ломают" их сервер по журналу Windows, они были обескуражены.

4. Ускоряльщики скачивания (и прочий "мусорный" софт)

Что делает на работе скучающий сотрудник? Правильно, качает кинцо/игрушки (зачёркнуто - смотрит порнушки). А если торренты закрыты, то исследует интернет на предмет интересного. Находит скачивальщики типа ufiller (или тысяч аналогов), качается софт, запускается, через 10 минут - перезагрузка и - "вышлите $200 на биткойн-кошелёк". Кстати, знаю истории, кто высылал и присылали ключи. Знаю, кто высылал и не присылали. А мы один раз расшифровали данные, потратив 7 000 рублей.

5. Поддельные веб-страницы

Сотрудник перешёл по ссылке на сайт, очень похожий на оригинал. Тут вариаций масса: копии госуслуг, копия веб телеграм, ватсап, копии озона, wildberries и других популярных ресурсов.

Что нужно сделать, чтобы не встрять с шифровальщиком?
- работать в Linux (хаха)
- иметь бэкапы.
- бэкапы должны быть в облаке
- бэкапы должны уметь восстанавливаться.

Кстати, про восстанавливаться есть одна чудная история, далеко не все проверяют а можно ли восстановить бэкап. Интересен такой контент?

Показать полностью
Отличная работа, все прочитано!