Вот такая петрушка

Цитата (Den4ik58 @ 17.02.2022 - 11:48)

Цитата (Creeepy @ 17.02.2022 - 11:46) Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать. Сервер 1C на Linux, нет там ни каких антивирусов. Порты закрыты, доступ через SSH по сертификату. Как так получилось непонятно, но очень интересно

Вспоминайте у кого модули к 1Ске заказывали

Наша бух тоже понажимала на ссылочки, прилетело такое же сообщение. Шеф сказал, чтоб сама базы восстанавливала. По тем временам около 30 тр требовали.

Было такое)))) Теперь хренова туча бекапов

Ну и дай им этого говна.На них все равно покупать нечего)))
Размещено через приложение ЯПлакалъ

Цитата (Matiass @ 18.02.2022 - 11:28)

Наша бух тоже понажимала на ссылочки, прилетело такое же сообщение. Шеф сказал, чтоб сама базы восстанавливала. По тем временам около 30 тр требовали.

Политики безопасности - вот решение.
Но в мелких конторах сразу поднимается вой про заблокированные Фейсбук, вацапы и ВКонтакте, а так же про публичные мыльники и скачку файлов на локальный комп. Все просят права админа на рабочую машину - повально.
Потом подобный, закономерный итог, как в старпосте.
Про то, что комп с клиент-банком, СЭДО и прочими специфическими системами должен быть отдельным - вообще не слыхивали.
Это сообщение отредактировал RedMoon123 - 18 фев 2022 в 11:47

Цитата (Creeepy @ 17.02.2022 - 11:46)

Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать. ЗЫ. А еще не надо по ссылочкам сомнительным переходить и запускать всякие файлики из почты.

Антивирусы не ловят шифровальщиков. От них можно защититься только бэкапами инфы с компа, всё остальное - бесполезно.
Размещено через приложение ЯПлакалъ

Цитата (RedMoon123 @ 18.02.2022 - 11:22)

И про бекапы. Да, квалификацию админа отсутствие реплик и бакапов как бы подтверждает, если они отсутствовали. Но поводом к увольнению или, ни дай господе , финансовой компенсации и штрафам - это ни коем образом не является.

если в должностых обязанностях прописано создание бэкапов, а их нет - то можно объявить выговор. а 2 выговора - это железобетонный повод к увольнению. там возможно много вариантов - депремирование, предупреждение, выговор.

Только доставать из архива или платить. Причем архивировать надо на внешнее устройство и через протокол, который не знает вирус, например ftp запароленный.

Но у нас народ беспечный, приходится учить их за деньги.

Цитата (archer77 @ 18.02.2022 - 12:00)

Цитата (RedMoon123 @ 18.02.2022 - 11:22) И про бекапы. Да, квалификацию админа отсутствие реплик и бакапов как бы подтверждает, если они отсутствовали. Но поводом к увольнению или, ни дай господе , финансовой компенсации и штрафам - это ни коем образом не является. если в должностых обязанностях прописано создание бэкапов, а их нет - то можно объявить выговор. а 2 выговора - это железобетонный повод к увольнению. там возможно много вариантов - депремирование, предупреждение, выговор.

Надо не просто делать архивы, но и делать их недоступными для шифровальщика, т.е. локальные диски и протокол SMB не годятся.

Цитата (Klounada @ 18.02.2022 - 12:12)

Цитата (archer77 @ 18.02.2022 - 12:00) Цитата (RedMoon123 @ 18.02.2022 - 11:22) И про бекапы. Да, квалификацию админа отсутствие реплик и бакапов как бы подтверждает, если они отсутствовали. Но поводом к увольнению или, ни дай господе , финансовой компенсации и штрафам - это ни коем образом не является. если в должностых обязанностях прописано создание бэкапов, а их нет - то можно объявить выговор. а 2 выговора - это железобетонный повод к увольнению. там возможно много вариантов - депремирование, предупреждение, выговор. Надо не просто делать архивы, но и делать их недоступными для шифровальщика, т.е. локальные диски и протокол SMB не годятся.

согласен, я описывал свою схему, которую от бедности пришлось придумать
если бекапы создавались и были зашифрованы - это одно, тогда надо смотреть другие инструкции (о регламенте резервного копирования, об информационной безопасности и т.д.)
если бекапов в принципе нет - это другое
если инструкций нет в прицнипе - то и никакие санкции наложить не получится

Ко мне клиент обратился позавчера с подобной бедой.

Подключаюсь, и смотрю.
Базы 1С нет, шары нет, и в корне С лежит 1С.rar а ещё ниже txt со следующим содержимым:

Внимание! Ваши данные заархивированы с паролем, использование их невозможно.
Для получения пароля к архиву от вас требуется оплата в эквиваленте 30000р (инструкции по оплате вам будут выданы после вашего обращения).
При согласии напишите на почту rob1111stewar@usa.com (резервный rob1111stewar@hotmail.com) , указав в обращении IP адрес вашего сервера (внешний, его можно узнать, открыв сайт 2ip.ru).
IP адрес необходим для выдачи вам вашего персонального пароля от архивов. Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера, во избежания подобных ситуаций в будущем.

Сразу, чтобы "не вставать дважды", к вопросу о гарантиях, который задают почти все - "где гарантия того, что после оплаты - пришлете пароль", "где гарантия что данные откроются" и т.п.
Ответ: как вы видите - архив с данными у вас лежит и доступен к просмотру. Хотел бы кинуть - удалил бы просто все и сказал что данные у меня лежат, а после оплаты - слился бы, а не заморачивался бы с архивацией информации.
Если сами не будете затягивать - то через 1-2 часа сможете продолжать работу как ни в чем ни бывало + избавитесь от лазеек в системе и никто вас более не потревожит. В конце концов почту мою загуглите, - не вы первые, не вы последние, но кинутых не было.
Если сильно так хочется гарантию распаковки - заливайте архив на яндекс диск, присылайте ссылку, скачаю, извлеку какой то файл, для вашего спокойствия. Но для вас это дополнительные затраты времени.

Через 24 часа цена за пароль от архивов составит 40000р.


Полез первым делом за бекапами - удалены.
Стал восстанавливать - безрезультатно, было по секторное удаление.

В итоге клиенту пришлось откатиться по 1С аж до конца ноября 2021, база у меня его лежала не помню уже зачем.

Давай разбираться почему так произошло... оказалось что у клиента на рабочий ноут был RDP с улицы прокинут с паролем "1966"...
От туда и был взлом....

выводы делайте сами )

Цитата (Den4ik58 @ 17.02.2022 - 11:48)

Сервер 1C на Linux, нет там ни каких антивирусов. Порты закрыты, доступ через SSH по сертификату. Как так получилось непонятно, но очень интересно

Сотрудникам на почту письма приходили, они их открывали.
Размещено через приложение ЯПлакалъ

Цитата (VampirBFW @ 18.02.2022 - 08:54)

Цитата Тут есть вопрос бюджетирования ИТ. Если не дают денег на инфраструктуру то причем тут ИТ специалист?! А вам для бекапов нужна какая то охерительная инфраструктура? Их и на коленке сделать можно. Из старых хардрв, при желании

Предлагаю определиться сначала для кого реально необходимы резервные копии -
для бизнеса в случае возникновения аварии.
Наверняка эта информация была донесена до руководства.
Руководство (могу предположить) сказало что пока же все работает.
А на коленке что то делать будет сейчас только начинающий ИТ энтузиаст. ИТ специалист этого делать не будет т.к. задача не была поставлена, а информация была донесена до руководства.

Система резервного копирования не должна хранить данные на старых дисках, так же она должна регулярно проверяться восстановлением файлов, проверкой работоспособности восстановленных виртуальных машин и сервисов. А старые диски это очень хорошая точка отказа. Чем больше старых дисков в системе резервного копирования тем чаще резервную копию не сможем считать.

Не надо хранить все яйца в одной корзине - делайте копии бэкапов на независимые от сервера устройства...

Цитата (archer77 @ 18.02.2022 - 12:00)

Цитата (RedMoon123 @ 18.02.2022 - 11:22) И про бекапы. Да, квалификацию админа отсутствие реплик и бакапов как бы подтверждает, если они отсутствовали. Но поводом к увольнению или, ни дай господе , финансовой компенсации и штрафам - это ни коем образом не является. если в должностых обязанностях прописано создание бэкапов, а их нет - то можно объявить выговор. а 2 выговора - это железобетонный повод к увольнению. там возможно много вариантов - депремирование, предупреждение, выговор.

Ни один вменяемый админ не подпишет подобные должностные обязанности, вроде
"Ответственность, в т.ч. материальная и\или уголовная за обеспечение компании резервными копиями данных".

А вот пункты вроде

"Следить за своевременным выполнением задач\скриптов, служащих для выполнения резервного копирования" очень даже можно подписывать.
Это сообщение отредактировал RedMoon123 - 18 фев 2022 в 12:48

Цитата (Klounada @ 18.02.2022 - 12:12)

Цитата (archer77 @ 18.02.2022 - 12:00) Цитата (RedMoon123 @ 18.02.2022 - 11:22) И про бекапы. Да, квалификацию админа отсутствие реплик и бакапов как бы подтверждает, если они отсутствовали. Но поводом к увольнению или, ни дай господе , финансовой компенсации и штрафам - это ни коем образом не является. если в должностых обязанностях прописано создание бэкапов, а их нет - то можно объявить выговор. а 2 выговора - это железобетонный повод к увольнению. там возможно много вариантов - депремирование, предупреждение, выговор. Надо не просто делать архивы, но и делать их недоступными для шифровальщика, т.е. локальные диски и протокол SMB не годятся.

Конечно.
Бакапы на локальных дисках, хоть в каком они массиве и прочее, ровно как и на общесетевой, доступной для записи всем, хранилке - это все равно что бакапов НЕТ.

7z под паролем и почта bk.ru... что то как то совсем по школьному.

Цитата (Pardsu335 @ 18.02.2022 - 10:13)

Цитата (Den4ik58 @ 17.02.2022 - 12:48) Цитата (Creeepy @ 17.02.2022 - 11:46) Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать. Сервер 1C на Linux, нет там ни каких антивирусов. Порты закрыты, доступ через SSH по сертификату. Как так получилось непонятно, но очень интересно Я сейчас так хохотался про один открытый SSH и отсутствие антивируса. Линуксы дырявее винды по факту, ибо Винду тестят миллионы пользователе, а линукса только парочка красноглазиков. Интереса ради зайдите на БДУ ФСТЭК, посмотрите линуксовые учзвимости

Мусье, на линухах работает почти весь инет. Например криптобиржи с миллиардными оборотами. Ху*ни не несите.
Это сообщение отредактировал Murlocatavr - 18 фев 2022 в 12:59

Цитата (Damirius @ 17.02.2022 - 11:49)

Скорее всего ничего не удалено, а экран блокируется этой херней. Надо зайти в безопасном режиме и в корневых папках найти exe файл с этим говном и затереть

Наконец-то трезвый коммент.

Цитата (kuzzzma @ 18.02.2022 - 12:57)

Цитата (Damirius @ 17.02.2022 - 11:49) Скорее всего ничего не удалено, а экран блокируется этой херней. Надо зайти в безопасном режиме и в корневых папках найти exe файл с этим говном и затереть Наконец-то трезвый коммент.

Два года назад друг так поймал вируса. Реально зашифровало, пришлось ему платить, а после делать нормальные бэкапы
Это сообщение отредактировал Klounada - 18 фев 2022 в 13:07

Через RDP ломонули, надо выключать залипание клавиши SHIFT и использовать альтернативные порты и проброс портов на маршрутизаторе. У меня такой же случай был, тогда фирме быстрее и проще было откупится 15 тыщ отдали. Школьники себе на энергетики зарабатывают
Размещено через приложение ЯПлакалъ

Цитата

cat /etc/mtab ls -al /media df -h ... в чем проблема тут узнавать-то?

Я имею ввиду, что это не каким-нибудь скриптом сделано, а хакер реально был на сервере.

нас ломали по RDP первый раз
откупились
второй раз не понятно чем, бекапы на 1С были, восстановил всё быстро. но зацепили ещё файлопомойку. а там у бухов, кто б сомневался, всё всё архиважное и ценное. и всё в одном экземпляре. пришлось платить опять
теперь и её бекапим )

Цитата (RedMoon123 @ 18.02.2022 - 12:46)

Цитата (archer77 @ 18.02.2022 - 12:00) Цитата (RedMoon123 @ 18.02.2022 - 11:22) И про бекапы. Да, квалификацию админа отсутствие реплик и бакапов как бы подтверждает, если они отсутствовали. Но поводом к увольнению или, ни дай господе , финансовой компенсации и штрафам - это ни коем образом не является. если в должностых обязанностях прописано создание бэкапов, а их нет - то можно объявить выговор. а 2 выговора - это железобетонный повод к увольнению. там возможно много вариантов - депремирование, предупреждение, выговор. Ни один вменяемый админ не подпишет подобные должностные обязанности, вроде "Ответственность, в т.ч. материальная и\или уголовная за обеспечение компании резервными копиями данных". А вот пункты вроде "Следить за своевременным выполнением задач\скриптов, служащих для выполнения резервного копирования" очень даже можно подписывать.

смотри, всё просто

1. разрабатывается документация (регламент) по резервному копированию
2. на админа вешается обязанность по исполнению данного регламента

ситуация - нужны бэкапы - их нет (зашифрованные бэкапы не в счёт).
смотрим кто как исполнял свои обязанности - если зашифрованы, то почему, кто допустил (нарушение регламентов безопасности или их в прицнипе нет). если кто-то бэкапы делал, но условный вип-пользователь настоял, чтобы у него было всё просто и пароль типа qwe123 - админ не виновен.

если бэкапов нет в принципе (и нет следов их создания), но условия для их создания были - виноват админ, поскольку забил хрен.

если бэкапов нет в принципе (и нет следов их создания), но условий не было, и об этом было как-то оповещено руководство - админ не виновен.

и еще можно накидать кучу вариантов в зависимости от структуры (есть или нет отдел ИБ, есть ли админ безопасности, есть ли админ баз данных и т.п) только фанатазируй.

под матответстенностью можно не подписываться, максимум - депремирование за неисполнение служебных обязанностей, которое надо доказать. можно объявить выговор (на который кстати можно отбрехаться).


но такое возможно только в жёстко регламентированных организациях, практически сферический конь в вакууме. если админ подписался под серую зарплату - ничего не докажешь. если админа "назначили" крайним, несмотря на всё (некоторые випы несмотря на их очевидную вину не признают, что они косячат, это выше их достоинства) - работать там не стоит.
Это сообщение отредактировал archer77 - 18 фев 2022 в 13:47

Лет 10 назад с этим сталкивался
Ломают через вайфай
Размещено через приложение ЯПлакалъ