Вот такая петрушка

Цитата (Галапагосян @ 17.02.2022 - 11:46)

биткоин - не деньги

Ты это теперь начальнику его скажи)))
Размещено через приложение ЯПлакалъ

да уж, хреново когда БД имеет выход наружу... от такого поможет защититься отдельная локальная VM только с базой данных, и к которой может обращаться только сама программа. А ещё лучше когда доступ к 1С идёт через VPN, ну или на крайняк, ограничение по IP делать, если работают с базой только из офиса. А ещё VM бэкапить намного проще - как и восстановиться...
а если базу данных шифровали и сжимали на том же компьютере где она вертелась, то можно попытаться через логи найти кто это учудил и как пролез, если не зачистил он всё конечно же (авось и ключ шифровальный сохранился в логах где-нибудь)


P.S. я с 1С никогда дел не имел(в литве не используют почти нигде), не знаю есть ли возможность через неё какие скрипты запиливать дабы они вот такое учудили...
Это сообщение отредактировал berserkren - 18 фев 2022 в 09:56

Знакомого контору через вайфай ломанули - были в одном влан и пипец. 3 дня ходили по сети - выясняли как че, потом зашифровали бекапы и базу 1С (около 100 пользователей). И прислали письмо - что то 5 кевро. Собственник - знатный торгаш сбил до 3 и заплатил - биткоинами кстати.
Размещено через приложение ЯПлакалъ

Цитата (berserkren @ 18.02.2022 - 09:49)

да уж, хреново когда БД имеет выход наружу... от такого поможет защититься отдельная локальная VM только с базой данных, и к которой может обращаться только сама программа. А ещё лучше когда доступ к 1С идёт через VPN, ну или на крайняк, ограничение по IP делать, если работают с базой только из офиса. А ещё VM бэкапить намного проще - как и восстановиться... а если базу данных шифровали и сжимали на том же компьютере где она вертелась, то можно попытаться через логи найти кто это учудил и как пролез, если не зачистил он всё конечно же (авось и ключ шифровальный сохранился в логах где-нибудь)

Если пароли есть - значит зашли через брутфорс , соответственно с брутфорсом м надо бороться - 3 ошибки и на месяц в iptables в deny уходишь.
Размещено через приложение ЯПлакалъ

Цитата (ЛешкинКот @ 18.02.2022 - 09:39)

Вот как-то так: Все сервера на виртуалках MS SQL делает бэкапы баз 1С на Synology (на ней включена "корзина" Т.е. данные не удаляются. Вообще) Windows Сервера (SQL, RDP, 1C, AD) делают бэкапы самих себя штатным средством Hyper-V делает репликацию виртуалок на другую железяку и бэкап на Synology Synology делает бэкап на другой Synology в другом городе

Корзина - это btrfs видимо. Спасала. Полезная штука - один раз поможет и понимаешь зачем столько места на дисках расходуется.
Размещено через приложение ЯПлакалъ

Цитата (Den4ik58 @ 17.02.2022 - 12:48)

Цитата (Creeepy @ 17.02.2022 - 11:46) Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать. Сервер 1C на Linux, нет там ни каких антивирусов. Порты закрыты, доступ через SSH по сертификату. Как так получилось непонятно, но очень интересно

Я сейчас так хохотался про один открытый SSH и отсутствие антивируса. Линуксы дырявее винды по факту, ибо Винду тестят миллионы пользователе, а линукса только парочка красноглазиков. Интереса ради зайдите на БДУ ФСТЭК, посмотрите линуксовые учзвимости

сколько специалистов в одной теме - ух!
а в разделе ЭВМ только один нашёлся, кто микрот с впн настроить согласился.

подобной хуйне больше 10 лет, что тут ещё можно обсуждать? чсв почесать теорией разве что.

Цитата (perakula @ 17.02.2022 - 10:54)

вот поэтому если работаешь с базами данных, то БЕКАП делать надо как минимум раз в неделю

У меня SQL базы бэкапятся каждые 15 минут. За неделю пропавших данных меня пожалуй убьют.

Админ в ахуе поди...

А какая зарплата у сисадмина компании? Я просто к тому, что хорошие специалисты стоят хороших денег. Если наняли за копейки, то нечего и удивляться.

знакомый прислал?? )) То есть ТС это не сам лично участвует в этом. Тогда ларчик может просто открывается и всё это устроил сам админ, как вариант. Ну мало ли - денег мало, обидели человека или ещё что. "Вырезаешь базу", шифруешь не самым лучшим архиватором, но то что было, как говорится и требуешь денег. А кто сделал? Не знаю ))
Такой вариант много вопросов снимает, ну, либо вариант два - реально кого-то с аутсорса кинули/проявили неуважение ))

Цитата (berserkren @ 18.02.2022 - 09:49)

P.S. я с 1С никогда дел не имел(в литве не используют почти нигде), не знаю есть ли возможность через неё какие скрипты запиливать дабы они вот такое учудили...

В 1с дохуа чо можно сделать.
Лично видел как ребята на 1с в шахматы играли. С самой 1с
Типа таких

Цитата (RBmoon @ 18.02.2022 - 10:14)

сколько специалистов в одной теме - ух! а в разделе ЭВМ только один нашёлся, кто микрот с впн настроить согласился. подобной хуйне больше 10 лет, что тут ещё можно обсуждать? чсв почесать теорией разве что.

Сорян, бро, видимо проглядел я твою тему про микротик
Это сообщение отредактировал Skrut - 18 фев 2022 в 10:55

Цитата (Den4ik58 @ 17.02.2022 - 11:48)

Цитата (Creeepy @ 17.02.2022 - 11:46) Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать. Сервер 1C на Linux, нет там ни каких антивирусов. Порты закрыты, доступ через SSH по сертификату. Как так получилось непонятно, но очень интересно

Если сервер 1с на линуксе, то наверняка есть бекап. Как это произошло - в справочнике банков не оказалось нужного БИК, а подписки ИТС тоже не оказалось, и бух либо кто-то еще полез искать загрузчик банков в инет, ну и собственно нашел. База почищена средствами 1с, т. е. запустили внешнюю обработку, которая штатно сообщает "Если обработка получена не из доверенных источников - не запускайте её". По итогу - дать пизды юзеру, запустившему обработку, у админа забрать и проверить пароли и послать на хуй, базу восстанавливать руками, предварительно поискать остатки во всяких кешах.

Цитата (Creeepy @ 17.02.2022 - 11:46)

Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать. ЗЫ. А еще не надо по ссылочкам сомнительным переходить и запускать всякие файлики из почты.

Не ставил антивирус лет 10 уже, сейчас он вообще нужен? браузеры фильтруют 99% мусора, надо быть сильно одаренным что бы зайти через защиту в какое то очко что бы такое словить.

У нас в конторе, которая входит в пятёрку по отрасли в РФ
Год назад черти умники совершили взлом
Базы запаролили и потребовали 20 что ли млн
Рублей
Собственник к кому только не обращался
В итоге заплатили
Поторговались но заплатили
И не мы одни

Цитата (greentest @ 17.02.2022 - 11:47)

Если грамотный админ, то лечится поднятием из бекапа базы

Это сам сисадмин и сделал))) походу обидели его чем то.
Размещено через приложение ЯПлакалъ

У нас на работе осенью также взломали сервер и удалили базы 1с. Просили 3,5 тыс. руб на электронный кошелек. Пока со взломщиком не торопясь переписывались по выкупу базы нашли как он проник на сервер. После того как нашли "дыру" в модеме и закрыли её злоумышленник сразу прекратил переговоры и удалил свой аккаунт. А базу пришлось восстанавливать вручную.

я бекапом базы незаморачивался я сразу диск клонировал

Еще не работал на этой фирме но говорят за пару лет до меня отвалили так 500 баксов биткоинами. Тоже 1с ломанули. Но потом все разблокиовали. В итоге после этого тут пароли гиперсложные начали делать)

Бэкапы? Не, не слышал.

Skrut , не моя она была, сам поздновато заскочил))
https://www.yaplakal.com/forum32/topic2389442.html
если интересно

Цитата (Den4ik58 @ 17.02.2022 - 11:48)

Цитата (Creeepy @ 17.02.2022 - 11:46) Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать. Сервер 1C на Linux, нет там ни каких антивирусов. Порты закрыты, доступ через SSH по сертификату. Как так получилось непонятно, но очень интересно

какой-нибудь bitrix, код в гите с env-файлом в придачу.
полгода назад активно эксплуатировалась уязвимость в гите.
Пролезли в гит, пролезли в репозиторий, открыли env. А там все:
database_user
database_host
database_password

и т д.

PS: сталкивались коллеги. От архива пароль после денег пришлют. Распакуете. Там еще один архив, опять попросят денег, там еще один архив.
Коллеги на 3-ей итерации перестали деньги высылать и восстановились из бакапа,правда старого.
Это сообщение отредактировал RedMoon123 - 18 фев 2022 в 11:18

Цитата (Pardsu335 @ 18.02.2022 - 10:13)

Я сейчас так хохотался про один открытый SSH и отсутствие антивируса. Линуксы дырявее винды по факту, ибо Винду тестят миллионы пользователе, а линукса только парочка красноглазиков. Интереса ради зайдите на БДУ ФСТЭК, посмотрите линуксовые учзвимости

Наличие уязвимости, и возможность ее как-то эксплуатировать - несколько разные вещи, не так ли? По поводу парочки красноглазиков - ты серьезно?


Это сообщение отредактировал flaitsman - 18 фев 2022 в 11:22

И про бекапы.
Да, квалификацию админа отсутствие реплик и бакапов как бы подтверждает, если они отсутствовали.
Но поводом к увольнению или, ни дай господе , финансовой компенсации и штрафам - это ни коем образом не является.

Еще лет 20 назад 1С предупреждала. И у них была фича, как расшифровать.
Размещено через приложение ЯПлакалъ