Безопасность

Подписаться на эту рубрику по RSS

Выделение статических ip адресов клиентам OpenVPN

Февраль, 02nd 2017

Я уже не раз рассказывал как сконфигурировать собственный OpenVPN сервер. Пользователи подключаются по сертификатам и им динамически выдаются свободные ip-адреса из заданного диапазона. Встала задача выдавать некоторым клиентам постоянные ip-адреса, чтобы была возможность подключаться к ним тоже.

Собственно, решается это довольно просто, если знать как. В файл конфигурации сервера OpenVPN нужно добавить буквально пару строк:

client-to-client
ifconfig-pool-persist ipp.txt
  • client-to-client - разрешаем клиентам видеть друг-друга в сети
  • ifconfig-pool-persist ipp.txt - наличие этой строки указывает, что перед тем как выдать клиенту свободный адрес из пула, сервер должен свериться с файлом ipp.txt, в котором прописывается привязка имени пользователя к ip-адресу.

Файл ipp.txt должен иметь следующий формат:

username1,ip-address
username2,ip-address
username3,ip-address

username1, username2 и username3 соотвествуют именам выданных сертификатов пользователей.

Снова о шифровальщиках. Вымогатели стали предлагать купить иммунитет от новых версий и где найти дешифраторы.

Январь, 12th 2017

шифровальщик. ransomware

Наверное уже сложно найти человека который не слышал про вирусы-шифровальщики, однако, даже зная об опасности, мало кто понимает что ежедневно подвергается риску подцепить эту заразу. Кажется что всё это где-то там... а оно уже вокруг нас здесь и сейчас... алгоритмы криптовымогателей постоянно усовершенствуются и аппетиты их только растут.

читать полностью →

В борьбе с троянами-вымогателями наметился прогресс

Декабрь, 16th 2016

Эксперт по информационной безопасности Michael Gillespie выпустил уже несколько бесплатных утилит, вскрывающих шифрование троянов-вымогателей и создал сервис ID Ransomware. На данный момент в базе имеются сведения о 257 семействах троянов-вымогателей. Утилита RansomNoteCleaner помогает жертвам троянов избавиться от мусора, которым те забивают диски.

читать полностью →

Программа-криптовымогатель шифрует пользовательские файлы в «оффлайне»

Ноябрь, 06th 2015

Программа-криптовымогатель

В очередной раз хочу предупредить НЕ ОТКРЫВАЙТЕ НЕПОНЯТНЫЕ ПИСЬМА! Чаще всего они маскируются под вполне нормальные от ваших друзей или клиентов, либо содержат в заголовках что-то типа «На вас заведено уголовное дело, срочно прочтите». О таких письмах я уже писал ранее.

Разного рода ransomware, программ-криптовымогателей развелось сейчас довольно много. Некоторые просто блокируют ПК, пока пользователь не заплатит. Иные разновидности такого ПО шифруют файлы, отправляя ключ на сервер, контролируемый мошенниками. Но есть и другие виды криптовымогателей, которые действуют еще более оригинально.

читать полностью →

Как удалить китайский вирус (антивирус?) baidu

Сентябрь, 13th 2015

Как удалить китайский вирус Baidu

Сегодня расскажу про одну китайскую тарабарщину, так как она стала встречаться с завидной регулярностью. Baidu - именно так называется это детище наших китайских друзей, штука весьма своеобразная. Полной уверенности что это чистой воды вирус нет, скорее нечто похожее на лезущий без спроса McAfee Security Scan Plus.

читать полностью →

Как удалить Yamdex.net в браузере. Избавляемся от Yambler.net, Webalta и Амиго

Март, 03rd 2015

yamdex.net

Yamdex.net, yambler.net, webalta, Амиго... полагаю, что-то из этого вы наблюдаете на своем компьютере или ноутбуке, иначе не искали бы как избавиться от этого безобразия. И так, при запуске любого браузера - Google Chrome, Mozilla, Internet Explorer, вы неожиданно попадаете на yamdex.net или yambler.net, а может еще что-то подобное с полным набором рекламных баннеров сомнительного содержания.

читать полностью →

OpenVPN сервер на маршрутизаторах D-Link серии DSR

Октябрь, 16th 2014

маршрутизатор D-Link DSR-500N

Ранее, на страницах блога, я рассказывал о настройке OpenVPN сервера на базе FreeBSD. Однако, существуют и аппаратные решения для реализации подобного шифрованного канала связи. Мне известны два таких решения - Microtik c их RouterOS и маршрутизаторы D-Link серии DSR. О последних сегодня и пойдет речь.

За основу взята вот эта статья http://www.dlink.ua/dsr_openvpn_settings с небольшими дополнениями уже от меня.

ВНИМАНИЕ! Функционал OpenVPN отсутствует в прошивках _RU

Последняя стабильная прошивка DSR-500N_A1_FW1.08B88_WW для DSR-500N ревизии A1 (прошивки других моделей маршрутизаторов можете найти самостоятельно на том же ftp)

читать полностью →

Реклама в браузере, как убрать?

Сентябрь, 21st 2014

Реклама в браузере, как убрать?

Всё чаще можно встретить проблему всплывающей рекламы в браузере, причем наблюдается она абсолютно на всех сайтах. Признаки одинаковы для всех браузеров, будь то Google Chrome, Яндекс браузер или Opera - при клике в любом месте любого сайта появляются всплывающие окна с рекламой сомнительного содержания. Постараюсь рассказать как убрать гадость.

читать полностью →

Все папки и файлы на флешке стали ярлыками

Сентябрь, 20th 2014

папки и файлы на флешке стали ярлыками

Пожалуй, самый явный вид заражения, это когда все файлы и папки на флешке вдруг превратились в ярлыки. Хоть его и видно невооруженным взглядом без всяких антивирусов, в результате неграмотных действий пользователя, последствия могут быть печальными.

Если на флешке были очень важные файлы, трудно удержаться от соблазна удостовериться что ними всё в порядке, ткнуть мышкой в знакомые до боли названия... а вот этого делать совсем не стоит!

читать полностью →

Как снять пароль любого пользователя в Windows

Февраль, 13th 2014

Offline Windows Password & Registry Editor

Готовы почувствовать себя хакерами? Имея физический доступ к компьютеру, сбросить пароль любого пользователя не составит труда. Как сбросить пароль в OS X я уже писал ранее, а вот Windows осталась без внимания.

читать полностью →

Ответ компании DrWeb о троянцах-шифровальщиках семейства Encoder. Возможно ли восстановить файлы.

Январь, 16th 2014

Салют буржуа! Наши быстроходные катера, атаковали ваш файловоз.

"Салют буржуа! Наши быстроходные катера, атаковали ваш файловоз. Ваш компьютер взят на абордаж командой Африканских пиратов...". Текст сообщения - дурь редкостная, однако от этого не легче. Тема троянцев-шифровальщиков продолжает набирать обороты в сети.

Сейчас, когда данный вид вымогательства стал сильно популярен, любителям кликать по всем ссылкам без разбора остается только пожелать удачи. Впрочем, только безвозвратно потеряв важные файлы и можно научить людей делать резервные копии и думать, прежде чем открыть очередной мега-ускоритель-интернета, узнать секретный способ сказочного обогащения не отрывая жопы от стула или скачать супер-сжигатель жира с беспроигрышного интернет-казино.

Буквально месяц назад писал об одном из способов распространения данной заразы с помощью поддельных писем из арбитражного суда. Прошло чуть более года с того момента когда я впервые столкнулся с вирусами шифровальщиками и на тот момент не было вообще никаких инструментов, дающих хоть какой-то шанс на восстановление данных.

Сейчас уже есть некоторые позитивные сдвиги в борьбе с вымогателями, однако это всё-равно большая лотерея. Компания DrWeb продолжает оказывать бесплатные услуги по расшифровке (если есть возможность), однако с 19 июня 2013 года к рассмотрению принимаются только заявки от владельцев коммерческих лицензий на продукты Dr.Web. Привожу ссылку, по которой можно подать заявку:

читать полностью →

СУДЕБНОЕ РАЗБИРАТЕЛЬСТВО! Внимание! Поддельные письма из арбитражного суда с вирусом-шифровальщиком

Декабрь, 10th 2013

СУДЕБНОЕ РАЗБИРАТЕЛЬСТВО! Письмо из Арбитражного суда

Буквально за три последних дня, ко мне обратилось сразу несколько знакомых с вопросом про странное письмо из арбитражного суда. Один раз мне его даже переслали с просьбой открыть, благо самостоятельно открывать его пытались на Mac и на iPad, потому всё обошлось без последствий.

Догадались о чем речь? Именно так, в большинстве случаев люди приобретают себе вирусы-шифровальщики. Вирус шифрует пользовательские файлы - текстовые документы, фотографии, базы данных 1С, электронные таблицы и pdf. Это просто бич какой-то, при условии что найти дешифратор под каждый конкретный экземпляр практически невозможно.

читать полностью →

Запрет на использование USB-накопителей в Mac OS X

Июль, 24th 2013

Помнится, я уже писал о том как принудительно запретить использование USB-накопителей в Windows. Надо признать, что в боевых условиях, Windows порой ведет себя непредсказуемо и странным образом некоторые компы возвратили былую способность читать флешки. Маки ведут себя более достойно, как и все unix-системы в целом.

В Mac OS X, за работу USB-устройств хранения данных (флэшек и внешних жестких дисков) отвечает расширение ядра IOUSBMassStorageClass.kext. Собственно, удалив или переименовав (рекомендую) это расширение мы полностью устраним возможность ипользовать USB-накопители. Отсутствие IOUSBMassStorageClass.kext не влияет на другие устройства, такие как USB принтеры, мышь или клавиатуру.

Для включения/отключения данного расширения, необходимы права администратора. В терминале переходим в каталог /System/Library/Extensions/ и переименовываем IOUSBMassStorageClass.kext в IOUSBMassStorageClass.kext.bak. После чего желательно изменить дату каталога /System/Library/Extensions командой touth и перезагрузить компьютер:

$ cd /System/Library/Extensions
$ sudo mv IOUSBMassStorageClass.kext IOUSBMassStorageClass.kext.bak
$ sudo touch /System/Library/Extensions

Важно! Необходимо проделать данное действие всякий раз при обновлении системы.

Конечно, в версии сервер можно наложить запрет на использование USB-накопителей отдельным пользователям системы, но я рассказал именно про обычные версии, где нет Server.app. Данный способ не отсебятина, а взят из реального руководства к Snow Leopard.

Хранение шифрованных данных в облаке Яндекс.Диск средствами Mac OS X

Июнь, 03rd 2013

Яндекс.Диск

Раньше я боялся потерять флешку по причине того, что на ней присутствует информация, доступ посторонних к которой крайне противопоказан (ключи к серверам, пароли к панелям управления хостингом, доменами, сайтами и т.д.).

В чем проблема скажете, создай тем же TrueCrypt шифрованный образ нужного размера и пользуйся. А вот неудобно каждый раз подключать данный образ к системе, тем более, что компьютеры, куда может быть воткнута данная флешка, совершенно разные. По такому случаю приобрел corsair padlock 2 - флешку с аппаратным шифрованием, перед началом использования которой неодходимо ввести пароль. Огромный плюс в том, что защита именно аппаратная, не привязана к какой-либо системе.

Однако, тревога утраты данной дивной флешки стала носить иной характер - информацию хоть и не достанут, но и копии её нигде нет. Косяк страшный. Хранить копию на домашнем компе - тоже не вариант, хочется иметь доступ не только из дома. Выход есть - использовать облачное хранилище Яндекс.Диск, тем более на халяву дают 10 Gb. Грех не воспользоваться.

Для пущей надежности хранить свои секретные данные в облаке будем в зашифрованном виде. Для этих целей можно воспользоваться, упомянутой ранее программой TrueCrypt, но мы поступим иначе, ведь надо когда-то использовать возможности нашей любимой Mac OS X.

Вы знали, что шифрованный образ диска в Mac OS можно легко сделать средствами самой системы? Если нет, то сейчас узнаете.

читать полностью →

ой… Нам очень жаль, но запросы, поступившие с вашего IP-адреса, похожи на автоматические.

Май, 05th 2013
ой…
Нам очень жаль, но запросы, поступившие с вашего IP-адреса, похожи на автоматические. По этой причине мы вынуждены временно заблокировать доступ к поиску.
Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить».

Нам очень жаль, но запросы, поступившие с вашего IP-адреса, похожи на автоматические.

Мы зарегистрировали подозрительный трафик, исходящий из вашей сети.

Надоело всякий раз объяснять, что не стоит слепо верить тому, что написано в интернете и уж тем более сообщать всем страждущим свой номер. Потому и решил написать этот коротенький пост.

То, что вы видите на картинках, банальный вирус-редиректор. Вы полагаете, что находитесь на известном сайте, к примеру Yandex или Google, но на самом деле посетили сайт злоумышленника, который лишь оформлен как известные вам странички. Доверия к таким ресурсам больше, потому гораздо проще "выудить" у вас какую-либо информацию под благовидным предлогом. Данную тему я уже затрагивал, когда писал о том как разводят на деньги в соцсетях.

читать полностью →

Крупнейшая DDoS-атака в истории

Март, 28th 2013

DDoS-атака

Заметили падение скорости интернет в пару последних дней? Сегодня многие интернет издания и крупные СМИ рассказали о «крупнейшей DDoS-атаке в истории интернета». Пришлось ощутить эти тормоза в полной мере на одном из серверов, пока временно не прикрыли на нем открытый DNS снаружи.

Основной жертвой атаки стала компания Spamhaus, которая занесла в чёрный список голландского хостинг-провайдера Cyberbunker за рассылку спама. Хостер не простил этого и организовал мощный DDoS (впрочем сейчас утверждает, что сам стал жертвой хакеров).

DDoS-атака началась еще неделю назад и вчера ее мощность выросла до 300 Гбит/с, так что смело можно утверждать, что это самая мощная атака в истории интернета на данный момент. В общем, сейчас зачинщиков "ищут пожарные, ищет милиция...".

Честно говоря мне доводилось выводить из черных списков Spamhaus вполне себе мирные домены, которым просто "не повезло", когда MX записи их почтовиков указывали на забаненные этим самым Spamhaus сети, причем без разбора. С другой стороны, НУ КАК ЖЕ ЗАДРАЛ ЭТОТ СПАМ!!!

ВНИМАНИЕ! Новый вирус-шифровальщик

Декабрь, 20th 2012
КОРАБЛЬ НА ЯКОРЬ, ГОСПОДА!
Бонжур комрады ! Вэлком на борт нашей "Чёрной мамбы".
Ваш компьютер взят на абордаж
командой Зимбабвийских пиратов .
Ваши файлы зашифрованы нашим
морским криптографом Намбо Ваном.
Если вы, нежадный белый человек
и не психованный депутат из ЛДПР,
то, мы готовы обменять вашу драгоценную инфу,
на жалкие бумажки именуемые бабками.
Поверьте, бабло зло - отдайте его нам.
Алчных и неадекватных типов за борт.
Весёлым и находчивым скидки.
У вас три дня до отплытия корабля.
Для переговоров собираемся в кают компании, sos на мыло
Номер компании 00000100
KORSARS@POST.COM

Забавное сообщение? Это только на первый взгляд... новый вирус шифрует файлы (документы, изображения, mp3), после чего тело вируса удаляется с компьютера. И это уже приобретает масштаб эпидемии.

Вирус-шифровальщик, предположительно распространяется в почтовых сообщениях в виде исполняемого файла и, на данный момент, пропускается ВСЕМИ антивирусами! Во всяком случае ни Касперский, ни DrWeb ничего обнаружить не смогли. Конечно, вина лежит на самих пользователях, которые запускают всё без разбора, но факт остается фактом.

читать полностью →

Ваш ПК заблокирован за просмотр и распространение порнографии. Вирус MBRlock

Декабрь, 06th 2012
Ваш ПК заблокирован за просмотр и распространение порнографии с участием несовершеннолетних, элементами насилия, педофилии. Ваши действия квалифицированы в соответствии ст.132 УК РФ, на основании чего ваш компьютер был заблокирован. Ввиду незначительности преступления на Вас наложен штраф в размере 700 рублей. Для оплаты штрафа в любом терминале пополните счет абонента МТС 8 9172782237 на сумму 700 рублей. По завершении платежа в случае оплаты суммы, равной штрафу, на фискальном чеке терминала оплаты Вы найдете персональный код, после ввода которого Ваш ПК будет автоматически разблокирован. В случае неуплаты штрафа все данные на Вас и IP адрес будут переданы в органы правопорядка для расмотрения и возбуждения уголовного дела по ст.132 УК РФ. Впредь соблюдайте порядок поведения в сети интернет!

Enter code:

Вот такое, серьезное с виду, предупреждение высветилось на одном из компьютеров - хоть бы без ошибок писали, грамотеи. Отдельно хочется поблагодарить одного из ночных охранников офиса и пользователя, который не удосужился поставить пароль.

читать полностью →

Как удалить trojan.carberp.30 (klpclst.dat)

Сентябрь, 27th 2012

Мой маленький недельный отпуск закончился и работа вновь накрыла с головой. Даже столь небольшой промежуток времени был богат на события... ну да это совсем другая тема, которой посвящу один из ближайших постов.

Давненько ничего не писал о троянцах, так что встречайте нового героя - trojan.carberp.30. О Carberp я слышал только то, что он внедряется в популярные системы дистанционного банковского обслуживания, но вот попался данный экземпляр на вполне заурядном офисном компьютере.

Честно говоря, симптомы были странные, OpenOffice запускался через раз, вернее начинал стартовать только после чистки /temp/ каталога пользователя. При загрузке компьютера, DrWeb постоянно находил вирус и бережно складывал его в карантин.

Однако, полная проверка компьютера, к моему удивлению, ничего не выявила, хотя вирус продолжал упорно находиться после каждой перезагрузки.

читать полностью →

ping не является внутренней или внешней командой...

Июнь, 15th 2012

Поговорим о последствиях действий некоторых вирусов, приводящих, при запуске программ из командной строки, к ошибкам следующего плана:

ping не является внутренней или внешней командой, исполняемой программой или пакетным файлом

На месте ping, в командной строке, с таким же успехом может быть написана любая системная программа (ipconfig, tracert, regedit и т.д.). Честно говоря, о простом решении сразу не подумал и для начала решил накатить обновление SP3 на Windows XP. Результат был нулевым.

На самом деле всё гораздо проще - были изменены пути у системной переменной PATH. Эта переменная указывает системе, где искать программы соответствующие той или иной команде. Т.е. выполнить команду можно и без этого, но в противном случае пришлось бы писать полный путь до нужной программы.

читать полностью →