Dokumentační portál Centra informačních technologií VŠB-TUO

Naposledy změněno 26.05.2021 11:26

   Facebook Centra informačních technologií VŠB-TUO
   - informace a novinky z oblasti provozu celouniverzitních služeb, plánované odstávky služeb, zajímavé články ze světa IT související s činností CIT.

Lis 11 2021

Malware šířící se v síti VŠB-TUO

V síti VŠB-TUO se na již nepodporovaných operačních systémech Windows 7 a Windows Server 2008 R2 šíří agresivní malware pomocí protokolu SMB (Samba - protokol pro sdílení souborů). Malware napadá ostatní zařízení v síti a kompromitované stroje začleňuje do botnetu. Využitím slabin v operačním systému se maskuje a jeho odstranění běžnými antiviry není možné (rootkit). Pro odstranění malwaru proveďte čistou instalaci novějšího a podporovaného operačního systému. V případě, že upgrade OS není technicky možný, proveďte postup uvedený níže.


Postup pro odstranění malwaru a zabránění opětovné kompromitace

  1. Spusťte TDSSKiller https://usa.kaspersky.com/downloads/tdsskiller a odstraňte nalezené problémy. Při proceduře budou vyžadovány alespoň 2 restarty OS.
  2. Nainstalujte ručně záplatu https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010 .
  3. Vypněte nepoužívané služby a pokud to je možné, tak zakažte SMBv1 https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3 .
  4. Na firewallu omezte běžící služby jen pro IP, které se službou potřebují komunikovat (tzv. whitelist). IP adresy můžete při editaci FW pravidla nakonfigurovat v sekci scope.
  5. Proveďte aktualizaci pomocí Windows Update.
  6. Zopakujte bod 1., aby jste se ujistili, že v průběhu nedošlo k další kompromitaci.

Pozn.: Některé dokumenty vyžadují pro zobrazení přihlášení.

Uživatel - Osobní počítače a příslušenství - Síť a připojení - Servery - Datové centrum - Informační systémy - Provozní řády a směrnice - Helpdesk - FAQ - Manuály fakult

 

Značky:
 
© 2015 - 2021 CIT, VŠB-TUO Ostrava