SMPFR

ping ouai c'est devenu à la mode
vive les backup/clone/replicats

je pousse au boulot pour avoir un serveur dédié blindé qui fait que de la sauvegarde et dont la connexion ssh se fait de manière super compliquée (port knocking, rien qui tourne etc...), mais pour eux le risque n'existe pas

pong

ping sont trop optimistes ^^

Pong sur les serveurs du taff.
le serveur DFS, donc avec la réplication ca s'est propagé un peu partout

Bref, j'avais fait un mail de com a tout le monde ce matin...
Visiblement ca n'a pas suffit... 8600 fichiers cryptés, je delete et restaure à J-1 demain.

Ca s'est propagé par mail, un apôtre a ouvert un mail en anglais avec une PJ, il a ouvert la PJ, ca lui a demandé d'executer les macros sur le Word ou l'Excel, je sais plus, il a répondu oui...
Il a fait ca a 16h20 environ, il partait à 16h45, il a eteint son PC...
25min = 8600 fichiers, 7Gb à restaurer sur une ligne à 1Mbs


Quand on m'a tel, que j’étais en voiture, j'ai simplement répondu qu'un admin ne s'avait régler les problèmes médicaux et qu'il fallait consulter de tout urgence ...

ping, youpi, reinstall du laptop accepter par l'IT (le clone c'est pas corporate qu'ils disent)
par contre, pour le SSD, pas d'overprovisionning, pas de ramdrive. soit disant que cela peux generer des soucis avec l'encryption

j'ai un système qui a des core dump aléatoires...

smartctl dit ça

ID# ATTRIBUTE_NAME          FLAG     VALUE WORST THRESH TYPE      UPDATED  WHEN_FAILED RAW_VALUE
  1 Raw_Read_Error_Rate     0x000b   100   100   016    Pre-fail  Always       -       0
  2 Throughput_Performance  0x0005   137   137   054    Pre-fail  Offline      -       79
  3 Spin_Up_Time            0x0007   100   100   024    Pre-fail  Always       -       0
  4 Start_Stop_Count        0x0012   100   100   000    Old_age   Always       -       3
  5 Reallocated_Sector_Ct   0x0033   100   100   005    Pre-fail  Always       -       0
  7 Seek_Error_Rate         0x000b   100   100   067    Pre-fail  Always       -       0
  8 Seek_Time_Performance   0x0005   142   142   020    Pre-fail  Offline      -       25
  9 Power_On_Hours          0x0012   099   099   000    Old_age   Always       -       9574
 10 Spin_Retry_Count        0x0013   100   100   060    Pre-fail  Always       -       0
 12 Power_Cycle_Count       0x0032   100   100   000    Old_age   Always       -       3
192 Power-Off_Retract_Count 0x0032   100   100   000    Old_age   Always       -       393
193 Load_Cycle_Count        0x0012   100   100   000    Old_age   Always       -       393
194 Temperature_Celsius     0x0002   150   150   000    Old_age   Always       -       40 (Min/Max 19/42)
196 Reallocated_Event_Count 0x0032   100   100   000    Old_age   Always       -       0
197 Current_Pending_Sector  0x0022   100   100   000    Old_age   Always       -       0
198 Offline_Uncorrectable   0x0008   100   100   000    Old_age   Offline      -       0
199 UDMA_CRC_Error_Count    0x000a   200   200   000    Old_age   Always       -       0

c'est le disque qui est mort non ?

pong

ping non non il pète la forme ton disque

+1, le disque est bon

pong

vhnet: marrant c'est arrivé aussi dans la boite où mon beau père est en consulting ^^

/!\ Mise à jour de la télécommande de la Freebox v6 /!\
-> si ça ne marche pas, appuyer sur le piti bouton à l'arrière !

ping !!

hop, multi-domaine fonctionnel

j'ai juste à faire l'ajout dans la db, changer le dns et je peux envoyer/recevoir pour le domaine en question ^^

pong

Au vu du message laissé par un client, je pense être le prochain à réparer les dégâts d'un ransomware.

Ping

erf fuck :/

backup?

pong

Chiffrement confirmé

Locky est remonté jusqu'à certains dossiers situés sur le serveur, dont l'application métier!!! Même la cartouche RDX y a eu droit!

Je devrais pouvoir restaurer via d'autres cartouches!

Locky tourne en tâche de fond ?

Ping

format c:
pong, et trouver le maillon faible (et surtout lui dire au revoir )

edit: j'imagine que c'est hors contrat?

kali: +1 :/ réinstalle du serveur sinon c'est un coup à devoir tout recommencer

ping

si c'est bien ce soft, une fois qu'il a finit il se détruit mais +1 par sécu :/
pong

@Biour effectivement hors contrat.

J'ai rendez-vous demain avec le client, il vaut mieux tout éteindre jusqu'à mon intervention ?

Ping

@Biour effectivement hors contrat.

J'ai rendez-vous demain avec le client, il vaut mieux tout éteindre jusqu'à mon intervention ?

Ping

éteindre + débrancher le réseau ^^

pong

J'ai rappelé, arrêt en cours.

Merci

Ping

Edit : En tant de pro, ai-je une quelconque responsabilité ?

cogent et google qui se parle plus en v6 car cogent veux que google paye le traffic....

https://mailman.nanog.org/pipermail/nan ... 84243.html

du coup obligé de passer par HE pour joindre google... la loose.

pong

classe
ping

J'ai rappelé, arrêt en cours.

Merci

Ping

Edit : En tant de pro, ai-je une quelconque responsabilité ?

je dirais (mais j'en sais rien c'est juste mon avis) que ça dépend d'où vient l'infection, si elle était facilement évitable etc... ?

pong

J'ai rappelé, arrêt en cours.

Merci

Ping

Edit : En tant de pro, ai-je une quelconque responsabilité ?

Si attaque RDP : oui.
Si attaque d'un serv pas à jour : oui.
Si c'est un bouley qui a lancé un word avec macro ou un exe : non

Si attaque RDP : oui.
Si attaque d'un serv pas à jour : oui.
Si c'est un bouley qui a lancé un word avec macro ou un exe : non

pas à jour => ça dépend si le maintient à jour de la plateforme est spécifiée dans le contrat

pong

Si c'est un bouley qui a lancé un word avec macro ou un exe : non

Je suis tranquille alors.

Ping