Вот такая петрушка

Было такое. Умельцы аутсорсеры бухи открыли рдп и привет. Покупали битков на 120т.р.
Хорошо что дешифратор прислали.
Размещено через приложение ЯПлакалъ

Цитата (perakula @ 17.02.2022 - 11:54)

вот поэтому если работаешь с базами данных, то БЕКАП делать надо как минимум раз в неделю

Друг лизни розетку. Ты наверное хотел сказать, что бэкап базы должен делатся полный минимум раз в сутки, с журналами раза 2-3 в сутки и хранится они должны не на сетевых дисках Samba, а как минимум по Ftp или вообще на ленту. С глубиной бэкапа этак с неделю, в зависимости от требований бизнеса.
Это сообщение отредактировал Saracin007 - 17 фев 2022 в 20:43

Стандартный косяк, бэкап храним рядом с основной базой.
Админу двойка за поведение.

все админы делятся на тех, кто еще не бэкапит, и тех, кто уже бэкапит :)

Видно же что сообщение написано Платформой 1С, значит шифранули средствами 1С. Как всегда у службы rphost админские права, у юзеров разрешен запуск внешних обработок (1с ники орут на каждом шагу, что это дыра), твори что хочу с удаленного клиента через 80 порт. Сколько я таких ебланов повидал.

Цитата (Den4ik58 @ 17.02.2022 - 12:00)

Ну как минимум надо знать пароль от кластера 1с, пароль от БД, пароль пользователя. Ну или получить доступ к консоли самого сервака. Каким образом это вышло непонятно, буду разбираться так как очень интересно в образовательных целях

Разве пароли не прописываются в конфиге 1с? Их достаточно для всего.
Размещено через приложение ЯПлакалъ

канючил как-то одноэсник мол давай 1с в облако перенесём - был послан на хуй с такими предложениями. кластер на своём железе крутился

Цитата (Den4ik58 @ 17.02.2022 - 11:49)

Цитата (greentest @ 17.02.2022 - 11:47) Если грамотный админ, то лечится поднятием из бекапа базы Да копии есть, интересно как так получилось..

На скрине плохо видно, но кажется это сообщение самой 1С, если так, то кто то с полными правами обработку запустил скаченную неизвестно где.

Цитата (Котовоз @ 17.02.2022 - 12:21)

Когда надо бухгалтерию от маски-шоу спрятать проще помещение неподалёку снять под сервак.

Зачем прятать бухгалтерию от маски-шоу? Что там такого может быть, чего не сдали уже отчетами в налоговую?

Или еще остались динозавры, не приходующие выручку?

Или конвертную часть зарплаты прямо в Зарплата и Кадры считающие?

какой хитрый админ ))..

Цитата (Creeepy @ 17.02.2022 - 11:46)

Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать. ЗЫ. А еще не надо по ссылочкам сомнительным переходить и запускать всякие файлики из почты.

Антивирус не панацея, зашифровать можно нехитрым скриптом, а архиватор вирусом не является... Так что да, бэкапы наше все.
Размещено через приложение ЯПлакалъ

У меня более 50 баз в SQL крутится. Бэкапится в 3-х местах.

Недавно устроился на новую работу. На WAрр приходит вчера сообщение:

[16.02, 12:50] +7 909 212-06-71: Добрый день! Это номер отдела кадров,просьба выслать на этот номер свидетельства о рождении детей до 14 лет, свидетельство о браке,диплом
[16.02, 13:05] +7 909 212-06-71: И фото паспорта

Размещено через приложение ЯПлакалъ

Цитата (Den4ik58 @ 17.02.2022 - 13:48)

Цитата (Creeepy @ 17.02.2022 - 11:46) Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать. Сервер 1C на Linux, нет там ни каких антивирусов. Порты закрыты, доступ через SSH по сертификату. Как так получилось непонятно, но очень интересно

Так сея херовина на сервере или на клиентском компе ?

Цитата (aerskaz @ 18.02.2022 - 08:44)

У меня более 50 баз в SQL крутится. Бэкапится в 3-х местах.

А бакапы верифицируються?
А сообщения о ошибках в джобе идут ?

А то или бакап Шредингера получаеться или вообще джоб уже 4 месяца выполнитсья не может

Цитата (greentest @ 17.02.2022 - 11:47)

Если грамотный админ, то лечится поднятием из бекапа базы

Если они делали бэкапы:)))
Размещено через приложение ЯПлакалъ

Цитата (Den4ik58 @ 17.02.2022 - 13:48)

Цитата (Creeepy @ 17.02.2022 - 11:46) Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать. Сервер 1C на Linux, нет там ни каких антивирусов. Порты закрыты, доступ через SSH по сертификату. Как так получилось непонятно, но очень интересно

Значит доступ давали какой нибудь конторе. А в таких конторах недооценённых гениев как говна за баней, сталкивался с двумя конторами которые так вкрячивались. И да - только кошерный бэкап.

Бэкапы, каждые 6/12 часов один в облаке,другой на сервере....и залупу на воротник таким желающим.

Последние обновы на Ос, ЗАКРЫТЫЕ групповые политики на парольный консольный вход,лишние шары,и несанкционированный сетевой удаленный доступ + работаем с базами под ограниченной учеткой с uac + KSC.

Если ось дырявая или есть контрафакт на пк с кряками это потенциальные дыры.

Сеть ещё -надо смотреть локальная или wan, если есть внешка, то "тип сети" "частная" или "общественная" ( политика работы
сервиса ssdp(upnp) и общего доступа)

Далее -если порты открыты, закрывать фаерволлом или установкой роутера с NAT.

В целом закрытые порты, лучше в stealth и двойной нат-- уже решает 80-90% безопасности с доступом извне - хоть двойной нат и костыль- да надо пробрасывать порты для работы и у такого Nat- есть свои гемморои и заморочки, но для нормального админа, кто шарит в микротиках- не проблема организовать проброс для своего софта в конторе, а остальное просто в аут послать, включая Echo запросы.

Тут плохой сис админ или эникейщик. Всё что я описал это да же не базис а азбука начальная безопасной работы. Углубленно нет смысла расписывать, это зависит от конкретного случая на местах.

Остальное спрашивать с тех что кто-то запустил на местах, для почты и вложений, есть настроенный дядя Женя с антиспам фильтрами проверкой почты + AMSI.

Не пренебрегайте крупными антивирусными вендорами. Касперский Small Office или Endpoint- страхует в почтовиках - много проблем. АВ не панацея, а всеголишь один уровень защиты. Остальное я написал выше.
Это сообщение отредактировал Vlados665 - 18 фев 2022 в 07:09

Цитата (ШмяГ @ 18.02.2022 - 10:48)

Недавно устроился на новую работу. На WAрр приходит вчера сообщение: [16.02, 12:50] +7 909 212-06-71: Добрый день! Это номер отдела кадров,просьба выслать на этот номер свидетельства о рождении детей до 14 лет, свидетельство о браке,диплом [16.02, 13:05] +7 909 212-06-71: И фото паспорта

... и фото банковской карты с обеих сторон

Меньше 5 штук баксов. Ну так-то не дорого.

Цитата (Pilokarpios @ 18.02.2022 - 00:29)

Видно же что сообщение написано Платформой 1С, значит шифранули средствами 1С. Как всегда у службы rphost админские права, у юзеров разрешен запуск внешних обработок (1с ники орут на каждом шагу, что это дыра), твори что хочу с удаленного клиента через 80 порт. Сколько я таких ебланов повидал.

Опа слона то я и не заметил про 1С.

А так да.. если обработки разрешены, то запустить в шелле на сервере можно... если корявые руки.

Цитата (Den4ik58 @ 17.02.2022 - 11:49)

Да копии есть, интересно как так получилось..

Тогда не парься. А своим скажи пусть письма не открывают разные с вложениями, и антивирь под линукс поставь. Админа нахлобучь. Или ты админ:)))?
Размещено через приложение ЯПлакалъ

Цитата (Creeepy @ 17.02.2022 - 11:46)

Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать. ЗЫ. А еще не надо по ссылочкам сомнительным переходить и запускать всякие файлики из почты.

Такую дичь присылают в виде внешней обработки к 1с, через почту. И пушит обычно что-то типа " это налоговая, скачайте и запустите обработку, иначе ваши отчёты будут не действительны и блаблабла". Запускают это обычно бухгалтера.
Размещено через приложение ЯПлакалъ

bk.ru = mail.ru

как то совсем неудивительно.

Цитата

Скорее всего ничего не удалено, а экран блокируется этой херней. Надо зайти в безопасном режиме и в корневых папках найти exe файл с этим говном и затереть

Скорее всего. Если сервак на линухе и закрыты порты, как говорит тс - чё т я сомневаюсь.
Пишут есть дыра в 1С. Мда
Размещено через приложение ЯПлакалъ