標題: OpenWrt Chaos Calmer 15.05.1 r49389中勒索病毒 [打印本頁]

---

作者: gl5900as    時間: 2017-7-3 22:15     標題: OpenWrt Chaos Calmer 15.05.1 r49389中勒索病毒

OPENWRT SERVER被勒索病毒入侵，加密哂幾TB野資料盡失
估唔到咁簡單既LINUX都有人研發病毒

OpenWrt
主机型号        Intel(R) Celeron(R) CPU 1037U @ 1.80GHz
固件版本        OpenWrt Chaos Calmer 15.05.1 r49389 / LuCI for-15.05 branch (git-17.136.58961-13aa5ff)
内核版本        3.18.45
本地时间        Mon Jul 3 22:13:07 2017
运行时间        12d 2h 35m 8s


Using username "root".


BusyBox v1.23.2 (2017-06-01 00:38:55 CST) built-in shell (ash)

****************************************!WARNING!*******************************            *******
******************************YOUR SERVER ARE INFECTED**************************            *******
*******ALL YOUR DATABASES, SITES AND USERS HOME DIRECTORIES HAVE BEEN ENCRYPTED*            *******

================================================================================            =======
YOUR UUID IS : 1231239812983687127382xhdjh2j3jk2kj19871bjdbkja1kj2kj1g1298129Zz5            67f
================================================================================            =======


If you want to restore your files, send your UUID to e-mail: wyman.alesha@mail.r            u
You have to pay for decryption in Bitcoins. The price depends on how fast you wr            ite to
us. After payment we will send you the decryption tool that will decrypt all you            r files.

FREE DECRYPTION AS GUARANTEE
Before paying you can send to us up to 1 files for free decryption.
Please note that files must NOT contain valuable information
and their total size must be less than 1Mb

********************************************************************************            *******
********************************************************************************            *******
****************************************!WARNING!*******************************            *******
root@OpenWrt:~#

---

作者: 321    時間: 2017-7-3 22:22

唔係呀？我個ftp都係ooenwrt,有無風險？

---

作者: gl5900as    時間: 2017-7-3 22:25

我開左Samba,SSH,FTP
SAMBA HKBN已封PORT
最有可能係SSH 或 FTP
真係要留意

---

作者: solexkey    時間: 2017-7-3 22:32

有無呢D勒索軟體或者其他病毒都要定時做backup,隨時預備total loss

---

作者: gl5900as    時間: 2017-7-3 22:36




好彩上個月3號BACKUP左

---

作者: gl5900as    時間: 2017-7-3 22:40

ALL DATA RIP
http://news.xinhuanet.com/tech/2017-05/26/c_1121039851.htm
SAMBA 領野

---

作者: solexkey    時間: 2017-7-3 22:42

本帖最後由 solexkey 於 2017-7-3 22:46 編輯



Touchwood我到而家都未動用過 D backup, 有時間都要試吓 d restore

---

作者: 某人兄    時間: 2017-7-3 22:42

Samba 永遠都唔應該擺出街

---

作者: 321    時間: 2017-7-3 22:52

正常都唔會放samba出街

---

作者: rhino    時間: 2017-7-3 22:59




    C Hing 你係受害者？

---

作者: gl5900as    時間: 2017-7-3 23:07




係，全部檔案變*.enc

---

作者: gl5900as    時間: 2017-7-3 23:08




samba只諗住只限內網用，加左密碼

---

作者: alanh999    時間: 2017-7-4 10:23

本帖最後由 alanh999 於 2017-7-4 10:29 編輯

That's why SMB, Telnet and SSH are blocked from WAN by default for my network.
For FTP I set the FTP server to use non standard ports and implemented port knocking barrier for connections from internet.

---

作者: leungykn    時間: 2017-7-4 10:29

提示: 作者被禁止或刪除 內容自動屏蔽

---

作者: 蠢貓    時間: 2017-7-4 15:14

樓主做法係咪直接開個權限比街外access自己嘅server？
我都有開smb及ftp，但冇對外出街，只用openvpn放出街，咁樣係咪最安全？

via HKEPC Reader for Android

---

作者: fatdog    時間: 2017-7-4 15:28

d data 係 usb 駁 openwrt？

如果唔係，你d 電腦前排都應該好 busy 去 encrypt data ... 而你唔知？

---

作者: solexkey    時間: 2017-7-4 16:01

本帖最後由 solexkey 於 2017-7-4 16:06 編輯

我都開咗ssh, 用non-standard port, disable root/password login, 改用cert connect

最緊要定期做同keep backup

---

作者: uKernel    時間: 2017-7-4 20:02

就算只開internal，其他內聯電腦中，都會samba中。

via HKEPC Ionic Reader v1.7.0 - Android

---

作者: gl5900as    時間: 2017-7-4 20:04




   
番工中唔知,5個hdd陣忙