ProfiNet - Одновременный сброс всех имен, возможно?

Коммуникационный протокол PROFIBUS, обсуждение, настройка, решение проблем, программное обеспечение.
frizbi
Сообщений в теме: 2
Сообщения: 2
Зарегистрирован: 05 окт 2016, 23:43

ProfiNet - Одновременный сброс всех имен, возможно?

#1

Сообщение frizbi » 05 окт 2016, 23:50

Добрый день!

Не нашел нужно раздела, поэтому размещу здесь.

У нас на предприятии произошла катострофа.
Все имена на всех PROFINET устройствах были заменены на имена вида "xq1547efc".
Проблему локализовали и устраняем.

Вопрос, как это могло произойти?
Вирус?
Или кто-то ручками мог случайно или намеренно все имена сбросить?

Коллапс произошел за несколько секунд, поэтому долговременное, специальное, переписывание имен я исключаю.

Профессионалы по PROFINET помогите разобраться в ситуации!



Аватара пользователя
alex
Администратор
Сообщений в теме: 2
Сообщения: 1828
Зарегистрирован: 05 апр 2010, 21:58
Откуда: Москва
Благодарил (а): 53 раза
Поблагодарили: 116 раз
Контактная информация:

Re: ProfiNet - Одновременный сброс всех имен, возможно?

#2

Сообщение alex » 06 окт 2016, 10:52

Интересная ситуация, если это не системная ошибка, то на ум приходит кибербезопасность, сколько устройств и что за устройства?



frizbi
Сообщений в теме: 2
Сообщения: 2
Зарегистрирован: 05 окт 2016, 23:43

Re: ProfiNet - Одновременный сброс всех имен, возможно?

#3

Сообщение frizbi » 06 окт 2016, 12:56

Устройств много.
Пострадали и контроллеры
S7-300, S7-400 ~6-7 шт.
и ЕТ-модули:
IM151-3 ~ 30-40 шт.
+ Scalance X-200 ~10 шт.
+ SINAMICS G120C ~15 шт.

Итого устройств 60-70 в общей сложности.
Есть большие подозрения на кривые руки подрядчиков, который вчера делали новый проект. Возможно-ли?

Взлом снаружи возможен, но маловероятен, в связи с тем, что наружу смотрит только один терминальный сервер, да и то не напрямую, а через ИТ. Там же стоит антивирус SEP (Symantec).

Может быть есть вирус какой-то который выборочно поражает именно PROFINET?
В общей сложности было поражено где-то 1/4 всех профинет устройств. Причем новые имена были выданы всем устройствам вида "xq181ed38"
Т.е. первый две буквы xq далее три цифры и потом 4 символа буквы и цифры.



Аватара пользователя
alex
Администратор
Сообщений в теме: 2
Сообщения: 1828
Зарегистрирован: 05 апр 2010, 21:58
Откуда: Москва
Благодарил (а): 53 раза
Поблагодарили: 116 раз
Контактная информация:

Re: ProfiNet - Одновременный сброс всех имен, возможно?

#4

Сообщение alex » 06 окт 2016, 13:47

Разберитесь, в каком объеме и какие изменения вносились подрядчиками, 1/4 устройств как то коррелирует с топологией сети или изменениями, которые вносились подрядчиками? А ИТ-артитектуре все все правильно у вас построено, я думаю что ваши айтишники конечно же имеют безопасный шлюз/брандмауер для доступа извне.




Если эта тема может быть полезна другим, поделитесь ссылкой:

Вернуться в «PROFIBUS»