oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
f86e6df5080a4083c6aa450da2867ffce489a198
knowledge-base/projects/zelenograd/README.md
dttb d4433bd0a8 Phase 4: обогатить frontmatter проектов + 6 новых stub'ов 
Существующие проекты получили frontmatter с aliases для FTS / objects-map:
  niikn  — Cloud-NIIKN New niikn.com, pve-niikn, Kripto-ARM, M.Maul
  dttb   — Work Server dttb, code-server, rustdeskserver, MacBook-Pro, ...
  glavtorg, krasnogorsk, zelenograd — добавлен frontmatter с aliases

Создано 6 новых README:
  projects/znamenskoye/README.md  — был отсутствующий index 3-х объектов
  projects/mmfb/README.md         — был отсутствующий index ММФБ + LionART
  projects/sergey/README.md       — stub OpenWrt_Sergey (Одинцово)
  projects/benilux/README.md      — stub OpenWrt Benilux (Истра)
  projects/vishnevyy-sad/README.md — stub Константин (Москва)
  projects/openwrt-4/README.md    — stub анонимный OpenWrt_4

Обновлён scripts/kb-objects-map.py: exact-match вместо substring (избегает FP
вроде alias 'cloud' ⊂ 'Cloud-NIIKN New niikn.com'). Aliases теперь должны
содержать полные имена пиров как в netbird-inventory.

Метрика: с 38 orphan-пиров до 14. Остаток — реально неклассифицированные
клиентские машины без явной привязки к проекту (Денис Тихая, DESKTOP-2IOQS54
и др.) — задача для отдельного шага обогащения.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-06 16:25:44 +03:00

74 lines
4.2 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
type: project
status: active
tags: [zelenograd, client, retail, kassa, windows]
aliases: [Зеленоград, zelenograd, "DESKTOP-6TF496J", "desktop-6tf496j", стройматериалы, касса]
---
# Зеленоград — строительный магазин
## Хосты
### DESKTOP-6TF496J (касса/рабочая станция)
- **Netbird IP:** 100.70.40.152
- **FQDN:** desktop-6tf496j.netbird.cloud
- **ОС:** Windows 10 22H2 (build 19045.6456)
- **Локальный пользователь:** `пользователь` (кириллица, не для SSH)
- **Админ для диагностики:** `claude` / `Kl@udeD1ag!2026`
- **SSH:** `ssh zelenograd` (alias в `~/.ssh/config`, ключ `id_ed25519`)
- **Netbird setup-key:** Claude-Diag (`83301E74-6F86-4CBD-AF77-0C65730103CA`)
## Доступ
### SSH (через Netbird)
```bash
ssh zelenograd
```
### AnyDesk
- **ID:** `1989051750`
- **Пароль (unattended):** `OL260380eg`
- Лицензия: free-1
- Установлен 2026-04-23 через CLI `--set-password`
## Инцидент безопасности 2026-04-23 🚨
**Машина была заражена малварью** (майнер/RAT, дата дропа 1721.07.2023, скорее всего через пиратский "RePack" софт с других дисков).
### Что найдено и удалено
| Артефакт | Путь |
|---|---|
| Папка малвари | `C:\ProgramData\ReaItekHD\` (taskhost.exe 22МБ + taskhostw.exe 30МБ, hidden+system, unsigned) |
| Папка малвари | `C:\ProgramData\Microsoft\gsbww\` (Game.exe, script.bat) |
| Папка малвари | `C:\ProgramData\Windows Tasks Service\` (winserv.exe) |
| Run-key | `HKLM\...\Run\Realtek HD Audio``ReaItekHD\taskhostw.exe` (маскировка: **I** вместо l) |
| Scheduled Tasks (10) | `\Microsoft\Windows\MasterDataV\{gsbww,RecoveryTask,RecoveryHosts}`, `\WindowsBackup\{CheckUP,MicrosoftCheck,OnlogonCheck,WinlogonCheck}`, `\Wininet\{1Hour,winser,winsers}` |
| IFEO hijack | `CompatTelRunner.exe → systray.exe` (отключение телеметрии Windows) |
| Backdoor-юзер | `John` (создан 21.07.2023, админ, LastLogon пустой) |
| Отключенные службы | EventLog (!!), VSS, uhssvc, DPS, WerSvc, Wdi*, FontCache, SysMain, WSearch и ~30 других |
### Что сделано
- Убиты процессы taskhost/taskhostw/winserv
- Удалены 10 scheduled tasks, Run-key, IFEO hijack, 3 папки, юзер John
- Восстановлены 13 критических служб + EventLog/wuauserv/BITS
- `sfc /scannow` — найденные повреждённые файлы восстановлены
- `DISM /RestoreHealth` — образ восстановлен
- Windows Update заработал, установил KB2267602 + Intel drivers
- Defender: PUA=Enabled, MAPS=Advanced, SubmitSamples=SendSafeSamples
- Quick Scan — чисто на C:\ (исторические детекты на L:\E: уже недоступны)
- **Offline Scan** запущен (ребут с проверкой до загрузки Windows)
### SHA256 малвари (для протокола)
- `taskhostw.exe`: `55E9458828B56747B7B035C4731C6CC3A921BACCD9E21A75A649125707AA3853`
### Рекомендации
- **Сменить пароли** (1С, банк, почта, WiFi, онлайн-касса) — считать скомпрометированными
- Включить Tamper Protection через "Безопасность Windows" (GUI)
- Не ставить "RePack / Portable by X" — частый источник троянов (нашли следы IObit Driver Booster RePack, Ashampoo Portable)
- Регулярно мониторить — кто-то уже имел admin-доступ и создавал юзеров
### Особенности доступа
- Локальный пользователь `пользователь` (кириллица) — SSH нельзя
- Создан админ `claude` / `Kl@udeD1ag!2026` для диагностики
- AnyDesk ID `1989051750` / пароль `OL260380eg` (unattended, установлен через CLI)
Reference in New Issue View Git Blame Copy Permalink