Miner Bitcoin.Miner activity

[DarkKnight]

Ahoj,

mám palčivý problém. Zkusím ho co nejpřesněji popsat.

V kanceláři se objevil Covid a zaměstnavatel nás poslal domů. Přivezl jsem si tedy pracovní stolní PC a pracovní notebook domů (Stolní budeme odevzdávat proto dva PC). Notebook jsem připojil do routeru (ASUS WL-520GC) ale stolní PC jsem kvůli nedostatku míst musel připojit ve vedlejší místnosti kde mám jen zásuvku. Byl tak připojený přímo do optického routeru do kterého je zapojené optické vlákno od poskytovatele. A tady začali problémy.

Notebook nehlásil nic, zato na PC jsem dostával jedno upozornění za druhým:
System Infected: Miner Bitcoin.Miner activity 9x detected
OS Attack: Microsoft SMB MS17-010. Disclosure Attempt detected

Spustil jsem Symantec a nechal projet Full Scan. Žádné nálezy. Pár dnů na to jsem měl ale velice "příjemný" telefon z práce od IT. No problém biblických rozměrů. Oba PC jsem musel obratem odevzdat a to i přesto, že notebook nic nehlásil. Důvod byl ten, že další bezpečnostní program zjistil infekci i tam a začal posílat automatické email s jménem PC správci IT.

Ze zajímavosti jsem zkusil připojit můj soukromý PC stejně jako pracovní. Čili přímo bez routeru. Stejně jako předtím Symantec na pracovním i na soukromém se mě Avast zbláznil a začal co pár vteřin křičet: Přerušené spojení s "smb://1.52.30.8/nsa:cve-2017-0144_EthernalBlue" zjištěna infekce "SMB:CVE-2017-0144"

Nevíte někdo co s tím? Pokud s tím nic neudělám tak můžu na HomeOffice zapomenout a budu muset jít na 60% pokud nás zase vedení pošle domů. A jak to že se problém objeví jen pokud je PC připojený bez routeru?

[Reklama]

[ITCrowd]

Především - okamžitě vyhoď tu plečku a pořiď si router, který vyhoví dnešním bezpečnostním standardům. Počítes s cenou minimálně 2500.
Dále navštiv zdejší sekci HJT pro odblešení toho tvého PC - pečlivě si prostuduj návod v sekci!
A po odblešení odpoj všechna zařízení od své sítě (mobily, tablety, tv, nas) a nech pc běžet, zda se problém projeví. Teprve poté zapni wifi routeru, změň SSID a heslo a každý den připoj jedno wifi zařízení. A sleduj, zda se po připojení něco neozve.
Ty si platíš dvě IP adresy?

[petr22]

Nakaza ale nebyla na PC ktere bylo pripojene do toho routeru, byla na PC ktere bylo mimo router
zapojeno primo do netu do zarizeni poskytovatele.

Jestli bylo neco nakazeno, tak zarizeni poskytovatele (a nebo to spis neni vubec router/firewall, takze zarizeni
je primo bez dalsi ochrany na netu).

V kazdem pripade mam velice vazne pochybnosti o zamestnavateli a jeho zabezpeceni firemnich zarizeni,
pomineme-li uz to, ze dovolil aby stolni pocitac opustil firmu (coz uz samo je bezpecnostni incident), tak se mi
nejak nezda jak na aktualizovane a firewallem chranene Windows 10 se muze dostat takovahle potvora jen
tim ze se PC pripoji na net.

Patch ktery opravuje tuhle chybu v SMB protokolu vysel na zacatku roku 2017, jaktoze neni na firemnich
pC nainstalovan ? Ze domaci PC neni aktualizovane me neprekvapuje.

[ITCrowd]

"Oba PC jsem musel obratem odevzdat a to i přesto, že notebook nic nehlásil. Důvod byl ten, že další bezpečnostní program zjistil infekci i tam a začal posílat automatické email s jménem PC správci IT"
Jednoznačně uvedeno, že nakaženy byly OBA pracovní PC, přičemž to druhé neukazovalo zprávy, ale posílalo emaily.

Osobně se domnívám, že onen asus není router, ale jen AP, tím pádem se počítače nakazily od zařízení uvnitř sítě. (proto otázka, zda si platí 2 IP adresy).

A záplata je k ničemu když má BFU práva a infekci si do mašiny pustí.

A kromě toho ta chyba v SMB, kterou popisuješ, se týkala W8 a W server2012. Windows 10 se netýká.

A kde jsi vzal, že stolní PC doma je bezpečnostní incident? My řešíme vše tak, že na PC je jen zabezpečený systém a vpn klient. Pokud se pracuje z domu, tak přes vpn na terminál, kde si otevře svou plochu a může pracovat. Z tohoto hlediska je úplně jedno, zda je doma notebook, nebo stolní PC.

Za mě jednoznačně chyba BFU a má štěstí, že ho rovnou nevyhodí.

[DarkKnight]

Pracovní PC - Win 7. Připojený přímo na internet. Symantec hlásil infekci přímo mě ještě posílal emaily správci IT s problémem a jménem PC.
Pracovní Notebook - Win 10. Připojený přes zmíněný router. Symantec nic nehlásil ale posílal emaily správci IT s problémem a jménem PC.
Můj soukromý PC - Win 7. Připojený přes zmíněný router. Avast nic nehlásil. V momentě připojení přímo na internet (stejně jak u pracovního PC) začal křičet stejně jako Symantec.

Dvě IP adresy? Přiznám se, že v tomto se vůbec nevyznám. Předpokládám, že poskytovatel pouští internet na jednu adresu do optického routeru. Co mám za tímto bodem ho podle mě nezajímá.

Btw, admin práva nemáme na vůbec nic. Nenainstalujeme si ani ovladače na tiskárnu bez admina.

[ITCrowd]

Ten optický router je co zač?

[DarkKnight]

Hmm. No já právě nevím jak se to jmenuje přesně. V mém jazyku blbého je to "ta krabička" do které připojíš optické vlákno a poté z toho vyvedeš už obyčejný ethernetový kabel. 2x pro internet a 2x pro TV. Většinou to je v ceně připojení. Dává to poskytovatel internetových služeb.

[ITCrowd]

Na té krabičce je to napsáno.
Co máž za poskytovatele a službu?
A skutečně do toho jde optika?

[ITCrowd]

Vypdá to takto: https://www.czc.cz/mikrotik-routerboard ... 60/produkt
Nebo spíš takto: https://www.cnews.cz/wp-content/uploads ... 1312-2.jpg

[ITCrowd]

Btw, admin práva nemáme na vůbec nic. Nenainstalujeme si ani ovladače na tiskárnu bez admina.

Uživatelská práva máš, jinak by ses do toho počítače vůbec nedostal. A ty na spuštění (škodlivého) kódu stačí.

[DarkKnight]

Je to od ZTE. Hromada čínského písma. Myslím že typ je ZXHN F660

Tohle by mělo být ono: https://www.google.com/search?q=ZTE+ZXHN+F660&hl=cs&sxsrf=ALeKk02xQW-UdF1Ow72Gay99yZTYjcZVdw:1597218745831&source=lnms&tbm=isch&sa=X&ved=2ahUKEwiv4uS_l5XrAhXN2aQKHeLcBOQQ_AUoAXoECAwQAw&biw=1680&bih=907#imgrc=3EhxOhw9mXQpOM

Poskytovatel je Nej.cz (dříve Riomedia.cz) Služba: Nej NET TV XXL up

[petr22]

Pracovni PC s Windows 7 a bez aktualizaci ? Tomu clovekovi z IT vyrid, at da vypoved, protoze toto je jeho chyba
a ne tvoje a na tom trvam. Dali ti domu pocitac, ktery predstavuje bezpecnostni riziko a neni tvoje prace ho resit.

Sorry jako, ale JEHO prace je pocitace zabezpecit kdyz uz neni schopen na ne dat podporovany operacni system.

Klidne s tim jdi za jeho nadrizenym - dostals neaktualizovany pocitac s Windows 7 a ted na tebe svadi, zes ho
nakazil, i kdyz byla jeho zodpovednost toto resit. Pokud nemas admin prava, nemas to ani jak resit.

1. Windows 7 nemaji v roce 2020 co delat na pracovnim PC, nemaji uz zadnou podporu od MS
2. nemaji nainstalovany patch z brezna 2017 ktery vice nez 3,5 roku tento problem resi

Tvuj domaci PC bude mit stejny problem - neni aktualizovan, ten patch vysel davno pred ukoncenim podpory W7.

Tomu vasemu "itakovi" rekni at ti tam nainstaluje Windows 10, aktualizovane a zabezpecene a pak teprve si to
vezmi domu. Protoze ty nezabezpecene W7 jdou za IT oddelenim, ne za tebou.