Автор: frizbi
Дата: 06.10.16 13:11
Добрый день!
У нас на предприятии произошла катострофа.
Все имена на всех PROFINET устройствах были заменены на имена вида "xq1547efc".
Проблему локализовали и устраняем.
Вопрос, как это могло произойти?
Вирус?
Или кто-то ручками мог случайно или намеренно все имена сбросить?
Коллапс произошел за несколько секунд, поэтому долговременное, специальное, переписывание имен я исключаю.
Устройств пострадало много.
Пострадали и контроллеры
S7-300, S7-400 ~6-7 шт.
и ЕТ-модули:
IM151-3 ~ 30-40 шт.
+ Scalance X-200 ~10 шт.
+ SINAMICS G120C ~15 шт.
Итого устройств 60-70 в общей сложности.
Есть большие подозрения на кривые руки подрядчиков, который вчера делали новый проект. Возможно-ли?
Взлом снаружи возможен, но маловероятен, в связи с тем, что наружу смотрит только один терминальный сервер, да и то не напрямую, а через ИТ. Там же стоит антивирус SEP (Symantec).
Может быть есть вирус какой-то который выборочно поражает именно PROFINET?
В общей сложности было поражено где-то 1/4 всех профинет устройств. Причем новые имена были выданы всем устройствам вида "xq181ed38"
Т.е. первый две буквы xq далее три цифры и потом 4 символа буквы и цифры.
Профессионалы по PROFINET помогите разобраться в ситуации!
|
|