[firebase-br] Problemas com o Servidor do FB

José Mauricio barbisan Zottis zottissistemas em gmail.com
Sex Maio 8 12:09:04 -03 2020


OPa, obrigado mais uma vez pela "aula", valeu mesmo.
Aparentemente depois que Fiz conforme me Indicou de criar um usuário
administrador para Acionar o FB o problema resolveu.


Em sex., 8 de mai. de 2020 às 11:13, Gladiston Santana <
gladiston em vidy.com.br> escreveu:

> Você não conhece os ransomwares.
> Eles não estão sempre no servidor, eles podem estar em computadores
> clientes.
> Um computador infectado faz um scan na rede e procura sistemas vulneráveis,
> ao encontrar, então inicia o ataque.
> Eu já fiz isso, no linux eu tinha um software (que mais tarde se tornou
> pago) que analisava a rede e depois mostrava as versões de Windows, os
> serviços detectados e até mesmo a versão deles e então reportava as falhas
> conhecidas.
> O princípio dessa categoria de vírus é a mesma coisa.
> Teve uma contabilidade que tinha um Win2008R2 com TS, onde todos os acessos
> era via terminal e portanto não tinha compartilhamento de arquivos/rede
> para pegar um vírus comum.
> Mas fui chamado pelo colega porque ele sabia que eu tinha conhecimentos
> mais profundos - nunca deixe seus amigos e parentes saberem o que você faz.
> Pois bem, outras tentativas drásticas como como reinstalações foram feitas,
> mas algumas horas/dias/semanas culminava no pedido de resgate dum
> ransomware.
> O que era difícil de entender é que os clientes só usavam o programa de
> conexão de terminal sem nenhum acesso local a compartilhamentos e com o
> firewall ativado.
> Gastei horas até descobrir que uma das estações de trabalho na rede local
> estava disparando o ataque.
> O funcionamento do ransomware ficava evidente quando após mais ou menos 30
> minutos o servidor reinicia sem motivo aparente,  e tudo parecia normal,
> mas depois o ransomware corrompia serviços, mas nenhum essencial para
> funcionamento do Windows por isso podia passar muito tempo até que alguém
> detectasse algo de errado e já era tarde.
> Pensa num cara que chega as 18h e vai embora as 04 da madrugada tentando
> identificar o problema por dois dias consecutivos.
> Me senti um herói ao identificar o problema mais do que ao neutralizá-lo.
> Descobri a estação que estava fazendo isso e descobri até que o
> ransomware veio de uma página em flash visitada pelo colaborador.
> E neutralização não foi fácil, levei o servidor para casa, formatei,
> reinstalei, atualizei até a última gota de correção e fiz uma imagem. Levei
> para o escritório, liguei a máquina infectada e o servidor e esperei pela
> infecção e ufa! o TS tava invulnerável novamente.
> Um detalhe porque eu demorei tanto, acreditei no proprietário quando disse
> que 'as estações tinham antivírus e eles estavam funcionando normalmente'.
> Deveras, o ransomware ficou quieto no local onde estava, se concentrava
> apenas no servidor.
> Aprendi muito de ransomware naquela semana, um antivírus para ransomware é
> bem específico e funciona de forma passiva, não há como detectar um
> ransomware na maior parte das vezes porque na dark web são vendidos kits e
> cada cracker adapta-o conforme sua necessidade e por isso seus executáveis
> e scripts não tem assinaturas que sejam populares suficientes para serem
> catalogados por marcas tradicionais, então um AV eficiente para essa
> categoria de vírus  faz algo engenhoso, espalha alguns arquivos
> estratégicos pelo disco e os monitora, quando eles sumirem então ele assume
> que foi um ransomware e pergunta ao windows que aplicativo apagou-o, quando
> ele descobre o nome então mata o serviço ou aplicativo que deu origem a
> exclusão e inibe ele de ser executado novamente. Não é 100% eficiente
> porque vi na internet que alguns ransomwares que agora se autoreplicam com
> nomes diferentes.
>
> Bem este foi meu ultimo 'causo' com alguém que disse que 'tinha antivírus
> instalado'.
> E vou te falar, antivirus num servidor não é boa ideia, há algumas
> exceções, mas ele pode ser até a causa do seu problema.
> Num servidor o que você precisa é dum bom firewall, e o que acompanha o
> Windows é bem eficiente, na edição 'Server' há até um wizard que lhe
> permite abrir apenas as portas do serviços que você usa, deixando-o muito
> blindado.
> O Firewall não foi  eficiente para o ransomware porque este explorou uma
> vulnerabilidade bem específica que foi usada como backdoor.
>
> inte+
>
>
> Em ter., 5 de mai. de 2020 às 18:23, José Mauricio barbisan Zottis <
> zottissistemas em gmail.com> escreveu:
>
> > Obrigado pelo apoio.
> > na verdade, não sei como pode ser rede pois o sistema roda diretamente no
> > servidor onde esta o banco e o FB.
> > Temos antívírus pago no server
> > mas vou tentar esse de criar um usuario administrador e fazer o start por
> > ele.
> >
> >
> >
> ______________________________________________
> FireBase-BR (www.firebase.com.br) - Hospedado em www.locador.com.br
> Para saber como gerenciar/excluir seu cadastro na lista, use:
> http://www.firebase.com.br/fb/artigo.php?id=1107
> Para consultar mensagens antigas:
> http://www.firebase.com.br/pesquisa_lista.html
>


--


Mais detalhes sobre a lista de discussão lista