Причуды бухгалтерской безопасности

 
+
-
edit
 

Balancer

администратор
★★★★☆

Есть у нас две бухгалтерские машинки. Сидят в своей локальной одноранговой сети на две машинки. Чтобы, значит, сетевая безобасность. Ибо вот. Нефиг.

Сегодня зовёт меня бухгалтерша и говорит невнятно о непонятных проблемах. Когда прихожу, даёт листок бумаги исписанный сообщениями от компа и я с удивлением вижу все признаки MSBlast'а и т.п. DCOM-братии.

Но машины не подключены никуда?! Как?

Очень просто.

Оказывается в банк они звонят по модему. Через обычный модем. С реальным IP. Firewall им какой-то поставили, но у банка IP меняется регулярно в целях безопасности, рабочие порты тоже меняются. Антивирус отрублен, а то хитрая банковская почта не пашет.

Вот так машина и словила этого вируса... Ну, прибил я его вручную. Заткнул дырку, вручную же. (До общесетевых архивов патчей и апдейтов не добраться же, ибо безопасность!)

Хых.

:D
 

AK

опытный

Для таких случаев я, каждому нашему выездному сотруднику, собственнолапно изготавливаю так называемый CDRW "911" со всеми патчами, утилитами для удаления, обновлениями антивируса и т.д. и т.п.
Бухгалтера - это та-акие звери...
Вы думаете легко быть Главным Злодеем в мире животных?
Всегда одно и то же, одно и то же...
 

hcube

старожил
★☆
Рекомендация - если у них банк-клиент похож на то, с чем я работал, то там можно выбрать, заходить на FTP через инет, или звонить на специальный телефон банковского сервера. Результат тот же, но соединения с инетом нет.
Убей в себе зомби!  
LT Bredonosec #21.05.2004 20:40
+
-
edit
 
но у банка IP меняется регулярно в целях безопасности, рабочие порты тоже меняются.
 
- Меняется, наверно, из какого-то конкретного диапазона (вряд ли ради них станут отнимать ИПы у других пользователей с реальным ИП) - прописать в стенке этот диапазон.
Рабочие порты - если меняются из небольшого диапазона - выгодней одно правило на весь диапазон портов дать. Для группы ИП, занимаемых банком, а не всех.
Если диапазон большой, а порты используются по определенной выборке (т.е., не 1024-5000 (к примеру), а 1120, 1220, 3210, (в общем, по статистике за некоторый период можно прикинуть) - тогда правила для конкретных портов (или их групп)) выгоднее.
 
+
-
edit
 

Balancer

администратор
★★★★☆

Да понятно, что всё это решабельно, и не так чтобы сложно. Просто как образец "горя от ума". Сидели бы в локалке как все и не было бы таких проблем :) (а с точки зрения инсайд-секьюрити - у нас итак каждый может придти к ним и без лишних подозрений что-то стянуть, скажем, на дискеттке :) )
 
+
-
edit
 

timochka

опытный

Balancer, 22.05.2004 00:00:00 :
Да понятно, что всё это решабельно, и не так чтобы сложно. Просто как образец "горя от ума". Сидели бы в локалке как все и не было бы таких проблем :) (а с точки зрения инсайд-секьюрити - у нас итак каждый может придти к ним и без лишних подозрений что-то стянуть, скажем, на дискеттке :) )
 


А убить DCOM сервис ?
И заткнуть его порты на файерволе ?
 
+
-
edit
 

-exec-

опытный

в офисе я прибил сервис некоторым юзерам. он был один. наблюдаю, будут ли жалобы. пока нет
дома поискал в реестре svchost (через панель служб искать бестолку) и ужаснулся - минимум четыре службы со страшными названиями вроде управления диалапом и вообще ритмом дыхания. дома пока не решился.

спрашивал народ о рисках его отключения - тишина была мне ответом.

оффтоп по поводу сидюка 911 - американизация? ;-)
может таки 03 или 01? :-)
 

AK

опытный

Ну, что делать.
01, 02 и 03 на слух не сильно однозначны. Тут американцы правы.


Сижу вечером, никого не трогаю. Вдруг взвыл NAV.
Бегу туда и что я вижу.
Наш чел просто зашел ИнтернетСексплорером на некий сайт svchost.h11.ru, который содержит рекомендации по удалению этого добра. У него тут же автоматом запустился медиаплеер и подгрузил троянчик.
Ничего, я их заставлю любить Оперу. :D

Насчет отключения. А почему бы просто не поставить мелкософтовые патчи?
Понадобятся KB823980 - от Blaster
KB828741 - от этого самого
KB840374 - только если стоит WinXP.

Вы думаете легко быть Главным Злодеем в мире животных?
Всегда одно и то же, одно и то же...
 

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru