Перейти к содержимому


Фото
- - - - -

Windows Powershell


  • Please log in to reply
38 ответов в этой теме

#21 Eugen Engelhardt

Eugen Engelhardt

    Advanced Member

  • Dr.Web Staff
  • 699 Сообщений:

Отправлено 03 Декабрь 2019 - 16:20

Denis Nikolayev, зайти в ЦУ (центр управления) и нажать кнопку "Список версий" в верху справа, выбрать свежую версию, нажать кнопку "Сохранить".


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#22 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 03 Декабрь 2019 - 16:25

Eugen Engelhardt, хм... значит я не так туплю, как мне показалось :) в первую очередь обратил внимание на эту кнопку, вот только она правда не активна. перегружаю сервер, может поможет :)



#23 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 03 Декабрь 2019 - 16:41

Eugen Engelhardt, хм... значит я не так туплю, как мне показалось :) в первую очередь обратил внимание на эту кнопку, вот только она правда не активна. перегружаю сервер, может поможет

Перезапустил сервер, но ситуация не изменилась - кнопка не нажимается :(

Прикрепленные файлы:



#24 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 03 Декабрь 2019 - 19:18

А, так это не 11 версия, а ещё 10.

Она только дистрибутивом обновляется, да.


Семь раз отрежь – один раз проверь

#25 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 04 Декабрь 2019 - 08:04

Afalin, блин, внимание не обратил :) смотрел в агенте версию - там 11-я. Так как мне правильнее сделать: обновиться до 11-й, накатив поверх дистрибутив, или можно сразу 12-ю ставить?



#26 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 04 Декабрь 2019 - 09:50

А пока отчет собираете, можете заодно MS17-010 поставить, тут он, видимо, не стоит.

Не так давно проводил полное обновление, по идее патч должен стоять. Но на всякий случай скачал отдельно. При установке пишет "Данное обновление не подходит для этого компьютера". Если что ОС - Win Server 2008 R2 x64 SP1, обнова для Win 2008 Server x64.



#27 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 04 Декабрь 2019 - 11:59

Afalin, блин, внимание не обратил :) смотрел в агенте версию - там 11-я. Так как мне правильнее сделать: обновиться до 11-й, накатив поверх дистрибутив, или можно сразу 12-ю ставить?

12 сразу ставить.


Семь раз отрежь – один раз проверь

#28 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 04 Декабрь 2019 - 12:07

 

Afalin, блин, внимание не обратил :) смотрел в агенте версию - там 11-я. Так как мне правильнее сделать: обновиться до 11-й, накатив поверх дистрибутив, или можно сразу 12-ю ставить?

12 сразу ставить.

 

Т.е. просто поверх накатить без каких-либо манипуляций? И агенты сами обновятся?



#29 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 04 Декабрь 2019 - 12:42

Т.е. просто поверх накатить без каких-либо манипуляций? И агенты сами обновятся?

Да, должно всё обновиться. Грабли при обновлении могут быть, само собой. Решаемые. Но про массовые не слышал.


Сообщение было изменено Afalin: 04 Декабрь 2019 - 12:42

Семь раз отрежь – один раз проверь

#30 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 04 Декабрь 2019 - 12:58

 

Т.е. просто поверх накатить без каких-либо манипуляций? И агенты сами обновятся?

Да, должно всё обновиться. Грабли при обновлении могут быть, само собой. Решаемые. Но про массовые не слышал.

 

Ясно :) сейчас как раз на виртуалке процесс обкатываю, чтобы в реале меньше вопросов было.



#31 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 04 Декабрь 2019 - 14:51

Afalin, 12-я версия на виртуалке поверх 10-й встала, вроде все нормально, агент сервер видит. Правда насторожили две вещи: 1. когда попытался в вэб-консоль зайти, мне браузер (IE) стал ругаться на сертификат, но консоль таки открыл. 2. когда я попробовал обновить репозиторий, полезли ошибки:

 


Правда в самом репозитории написано, что все актуально.

Прикрепленные файлы:



#32 Eugen Engelhardt

Eugen Engelhardt

    Advanced Member

  • Dr.Web Staff
  • 699 Сообщений:

Отправлено 04 Декабрь 2019 - 16:41

Afalin, 12-я версия на виртуалке поверх 10-й встала, вроде все нормально, агент сервер видит. Правда насторожили две вещи: 1. когда попытался в вэб-консоль зайти, мне браузер (IE) стал ругаться на сертификат, но консоль таки открыл. 2. когда я попробовал обновить репозиторий, полезли ошибки:

 


Правда в самом репозитории написано, что все актуально.

В ЦУ - Администрирование - Общая конфигурация репозитория - Протокол получения обновления, временно выберите HTTP, сохраните и обновитесь, потом верните как было.


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#33 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 04 Декабрь 2019 - 17:17

Win Server 2008 R2 x64 SP1, обнова для Win 2008 Server x64.

Если всё точно так, как вы говорите, то это обновление и не должно подойти. 2008 и 2008 R2 -- разные вещи. R2 выпущена в 2009 году, а 2008 -- в 2008-м :rolleyes: .



#34 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 05 Декабрь 2019 - 08:35

Smart_D15, да я понимаю, что разница есть, но даже мелкомягкие предлагают WinServer 2008 x64 и усе :( Да хотя по идее я недавно полное обновление проводил, думаю, заплатка должна была приехать с ним.

В ЦУ - Администрирование - Общая конфигурация репозитория - Протокол получения обновления, временно выберите HTTP, сохраните и обновитесь, потом верните как было.
стесняюсь спросить, это так задумано? или репа сама автоматом обновляется, а этот костыль только для ручного обновления?


#35 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 05 Декабрь 2019 - 09:44

стесняюсь спросить, это так задумано? или репа сама автоматом обновляется, а этот костыль только для ручного обновления?

Нет, так не задумано, сертификат сменён до того, как были подготовлены дистрибутивы с актуальным.


Семь раз отрежь – один раз проверь

#36 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 05 Декабрь 2019 - 09:49

Afalin, Ясно. Ну в любом случае репы обновляются же автоматом.



#37 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 05 Декабрь 2019 - 12:59

По поводу сабжа - насколько вижу, в системе побывал Monero Mining Worm aka WannaMine, который любит эксплуатировать EthernalBlue, EsteemAudit, а также трюки с PowerShell-ом. Еще может создавать админские учетки для своих нужд, так что устройте аудит на предмет левых пользователей, расшаренных каталогов, RDP сессий.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#38 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 05 Декабрь 2019 - 15:26

RomaNNN, спасибо за совет! искать следы :)



#39 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 05 Декабрь 2019 - 15:29

https://news.sophos.com/en-us/2019/10/01/lemon_duck-powershell-malware-cryptojacks-enterprise-networks/


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых