Вот такая петрушка

Цитата (Den4ik58 @ 17.02.2022 - 12:12)

Цитата (Котовоз @ 17.02.2022 - 12:08) Логи RDP наше всё, если они не "всё". Да нет там RDP. Linux+1C-Сервер+Postgres. Работают тонким клиентом

Беда.
Не, ну можно, как вариант 1с-нику криптоанализ провести, термально-ректально,
да и сервак в облаке очень рискованно.
Когда надо бухгалтерию от маски-шоу спрятать проще помещение неподалёку снять под сервак.
Это сообщение отредактировал Котовоз - 17 фев 2022 в 12:21

Цитата (combatunit @ 17.02.2022 - 12:18)

Цитата (Skrut @ 17.02.2022 - 16:12) Так что - либо какая то неучтённая дырка, либо, как было сказано выше - кто-то поделился доступом. Был один веб- программист, так ему было лень с правами когда возиться, ставил 777, мотивируя тем: "Да кому надо сюда лезть" Но вот когда он начал свой код переносить на рабочий сервер, начались проблемы с его кодом - никто не собирался ставить полный доступ, а без этого большинство функций у него не работало. И пришлось ему много переписывать. Так что, дырка обычно имеет имя и должность

Ну я немного про другие дырки.
Всякие там переполнения буферов инжекты и прочее.
Типа этих

ПыСы: на серваке поди еще и установка хотфиксов отключена
Это сообщение отредактировал Skrut - 17 фев 2022 в 12:23

Цитата (Den4ik58 @ 17.02.2022 - 11:48)

Цитата (Creeepy @ 17.02.2022 - 11:46) Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать. Сервер 1C на Linux, нет там ни каких антивирусов. Порты закрыты, доступ через SSH по сертификату. Как так получилось непонятно, но очень интересно

А ЧТО получилось? Кто-то вообще смотрел? "Сервер" на linux... что под этим понимается? Файловая база+rdp или все-таки postgresql? Если второе, то были проебаны пароли к базе, были проебаны доступы по ssh и т.д. и т.п. и это еще и скорее всего полностью рукотворное, т.е. не "вирусы", а кто-то рУками это делал упорно. Про "антивирус" на линуксах смысла не имеет говорить, ибо запуск "вируса" на линуксах это опять-таки нечно рукотворное, с подтверждением доступа, знанием паролей и т.д. Для начала надо понять - что с СУБД и что там с базой внутри, а то может и норм все...

Цитата (Skrut @ 17.02.2022 - 16:21)

Цитата (combatunit @ 17.02.2022 - 12:18) Цитата (Skrut @ 17.02.2022 - 16:12) Так что - либо какая то неучтённая дырка, либо, как было сказано выше - кто-то поделился доступом. Был один веб- программист, так ему было лень с правами когда возиться, ставил 777, мотивируя тем: "Да кому надо сюда лезть" Но вот когда он начал свой код переносить на рабочий сервер, начались проблемы с его кодом - никто не собирался ставить полный доступ, а без этого большинство функций у него не работало. И пришлось ему много переписывать. Так что, дырка обычно имеет имя и должность Ну я немного про другие дырки. Всякие там переполнения буферов инжекты и прочее. Типа этих

Сомневаюсь, что эта фирма имеет такое значение для таких затрат.
В большинстве случаев во всём виновата обычная лень. То пароль каждый раз вводи, то для разных задач пользователей переключай, то для копирования одного файла его надо последовательно из одного в другое место под разными пользователями 5 раз кидать
Вот и ставят 777. Не говоря про расшаривание нужных папок, чтобы быстрее было.
Так что навряд ли имел место сложный взлом. Или, в лучших традициях Митника, увели логин\пароль, или кому-то было, как обычно, лень

Цитата (treeton @ 17.02.2022 - 12:25)

Цитата (Den4ik58 @ 17.02.2022 - 11:48) Цитата (Creeepy @ 17.02.2022 - 11:46) Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать. Сервер 1C на Linux, нет там ни каких антивирусов. Порты закрыты, доступ через SSH по сертификату. Как так получилось непонятно, но очень интересно А ЧТО получилось?

Судя по всему кто то залез в 1с-ку ( вариант в postgre ), выгрузил .dt-шку ( вариант - сдампил базу ) запаковал в запароленный архив. Кинул там же.
Затем убил конфигурацию 1с и нарисовал свою, которая отображает это вот сообщение.

Цитата (combatunit @ 17.02.2022 - 12:28)

Вот и ставят 777. Не говоря про расшаривание нужных папок, чтобы быстрее было. Так что навряд ли имел место сложный взлом. Или, в лучших традициях Митника, увели логин\пароль, или кому-то было, как обычно, лень

Не думаю, что дело в 777
Тут именно что - залезли на сервак с рутовыми правами.
ТС спращивает КАК ?

А я соответственно у него спрашиваю "а как туда вобще попадаете, кроме SSH который торчит 'в мир' ? "

Цитата (combatunit @ 17.02.2022 - 12:28)

Сомневаюсь, что эта фирма имеет такое значение для таких затрат.

Каких "затрат" ?
Обнаружить торчащий SSH, залезть на securitylab, почитать про свежие дырки, попробовать пару эксплойтов ?
Это всё за вечер делается.
Это сообщение отредактировал Skrut - 17 фев 2022 в 12:36

Цитата (perakula @ 17.02.2022 - 11:54)

вот поэтому если работаешь с базами данных, то БЕКАП делать надо как минимум раз в неделю

неее бэк каждый вечер... только так.. и хранить в 2 местах

Цитата (greentest @ 17.02.2022 - 11:47)

Если грамотный админ, то лечится поднятием из бекапа базы

Когда есть бекап, то, конечно, легко. Восстановил базу, а потом вирус этот нашел, лучше вручную и удалил. Я так и делал. Два раза ломали. Оба раза так и поступал. А если нет бекапа, то пипец-) Даже заплатить денег, не факт, что откроют.

Цитата (Skrut @ 17.02.2022 - 16:30)

Цитата (combatunit @ 17.02.2022 - 12:28) Вот и ставят 777. Не говоря про расшаривание нужных папок, чтобы быстрее было. Так что навряд ли имел место сложный взлом. Или, в лучших традициях Митника, увели логин\пароль, или кому-то было, как обычно, лень Не думаю, что дело в 777 Тут именно что - залезли на сервак с рутовыми правами. ТС спращивает КАК ? А я соответственно у него спрашиваю "а как туда вобще попадаете, кроме SSH который торчит 'в мир' ? "

Лично наблюдал.
Программер сидит на винде, все папки с линуксового сервака, с которыми он работает, подключены в качестве сетевых дисков. Естественно, с полными правами доступа для него. Потому что так быстрее и удобнее.
Антивиря нет - онжепрограммист!
Я аккуратно поинтересовался о безопасности, на что получил традиционный ответ: "Да кому это надо ломать?"

Ну вот стоит этому пареньку было поймать шифровальщика
К счастью, не на моей работе такое чудо.


Пример веб программером, который на смотрящем в мир серваке просил поставить 777, я выше приводил.

Так что копать в первую очередь надо по методике Оккама, начиная с самых простых вариантов. Напрмер, что "взлом" происходил на одной из рабочих машин, а не на сервере.
Кстати, конфликтов там недавно не с кем не было из сотрудников? Никто не увольнялся, особенно тихий и незаметный?

Цитата (Skrut @ 17.02.2022 - 12:30)

Тут именно что - залезли на сервак с рутовыми правами. ТС спращивает КАК ? А я соответственно у него спрашиваю "а как туда вобще попадаете, кроме SSH который торчит 'в мир' ? " Цитата (combatunit @ 17.02.2022 - 12:28) Сомневаюсь, что эта фирма имеет такое значение для таких затрат. Каких "затрат" ? Обнаружить торчащий SSH, залезть на securitylab, почитать про свежие дырки, попробовать пару эксплойтов ? Это всё за вечер делается.

Тут еще такой момент: на продакшн снрверах админы шибко не любят апгрйд системы делать, ибо софт, что на них крутится работает не на стандартной системе, а чуть ли не с ядром перекомпилиованным и оптимизированным под этот софт.

А залезли может и не с рутовыми правами. Подняли привилегии уже локально.
По своей практике: тот же Dirty Cow 2016го года встречается часто.

Но, соглашусь. Входных данных очень мало. Все таки мог и вебсервер крутится, еще что...
Это сообщение отредактировал kazanec - 17 фев 2022 в 12:52

Сейчас я угадаю, база торчала наружу и были разрешены внешние обработки, и естественно простой пароль у привелегированного пользователя базы?
Это сообщение отредактировал makstex - 17 фев 2022 в 12:57

Цитата (combatunit @ 17.02.2022 - 12:49)

Цитата (Skrut @ 17.02.2022 - 16:30) Цитата (combatunit @ 17.02.2022 - 12:28) Вот и ставят 777. Не говоря про расшаривание нужных папок, чтобы быстрее было. Так что навряд ли имел место сложный взлом. Или, в лучших традициях Митника, увели логин\пароль, или кому-то было, как обычно, лень Не думаю, что дело в 777 Тут именно что - залезли на сервак с рутовыми правами. ТС спращивает КАК ? А я соответственно у него спрашиваю "а как туда вобще попадаете, кроме SSH который торчит 'в мир' ? " Лично наблюдал. Программер сидит на винде, все папки с линуксового сервака, с которыми он работает, подключены в качестве сетевых дисков. Естественно, с полными правами доступа для него. Потому что так быстрее и удобнее. Антивиря нет - онжепрограммист! Я аккуратно поинтересовался о безопасности, на что получил традиционный ответ: "Да кому это надо ломать?" Ну вот стоит этому пареньку было поймать шифровальщика

Шифровальщик бы просто закриптовал базу и выложил на рабочий стол "ПРОЧТИ_МЕНЯ.TXT"

А тут базу сдампили, запаковали 7зипом и покоцали конфигурашку 1с
Это явно делалось , как тут выше сказали "рУками"

У меня золотое правило, кроме бэкапа на удаленный ПК, утром в обед и вечером на съёмный носитель
Размещено через приложение ЯПлакалъ

Цитата (Батарейкин @ 17.02.2022 - 11:49)

А такой каталог как класс существует?А то мне то же на почту сообщение пришло,дай денег я твой маршрутизаторвебка ломал и хули?

Судя по имени каталога - это внешний диск.

Странный выбор для хакера, он заранее не мог знать, что этот диск воткнут.
Значит сломали именно ssh.

Совет 1сникам - используйте Effector Saver.
Отличная штука, даже купить можно, недорогая.


Это сообщение отредактировал spiderv - 17 фев 2022 в 13:03

ну это пизда. Тут только платить или со старых бэкапов. Причем шифруется это все дело не в одну секунду и по работе компа можно было понять, что то что то ни так, но всем как обычно пох.

1снику в жопку криптоанализатор засуньте и пусть он просто в модуле управляемого приложения уберет свой говнокод.

Цитата (spiderv @ 17.02.2022 - 14:00)

Цитата (Батарейкин @ 17.02.2022 - 11:49) А такой каталог как класс существует?А то мне то же на почту сообщение пришло,дай денег я твой маршрутизаторвебка ломал и хули? Судя по имени каталога - это внешний диск. Странный выбор для хакера, он заранее не мог знать, что этот диск воткнут. Значит сломали именно ssh.

Не обязательно, можно через внешние обработки это сделать, если они разрешены в базе и у прив.пользователя простой пароль.
С другой стороны, первое, что надо делать при разворачивании PostreSQL, это включать выгрузку дампов каждую ночь, а забирать их уже с помощью другой машинки, к которой доступа нет ниоткуда, либо только на чтение.

Цитата (spiderv @ 17.02.2022 - 13:00)

Цитата (Батарейкин @ 17.02.2022 - 11:49) А такой каталог как класс существует?А то мне то же на почту сообщение пришло,дай денег я твой маршрутизаторвебка ломал и хули? Судя по имени каталога - это внешний диск.

Нихуа !
Это просто примонтированный второй (не системный) диск, на котором и лежат базы.
У меня так же сделано.
Убунта монтирует не в /mnt а в /media

Цитата

Не обязательно, можно через внешние обработки это сделать, если они разрешены в базе и у прив.пользователя простой пароль. С другой стороны, первое, что надо делать при разворачивании PostreSQL, это включать выгрузку дампов каждую ночь, а забирать их уже с помощью другой машинки, к которой доступа нет ниоткуда, либо только на чтение.

Можно.
Но сохранили в папке на Линукс машине, которая появляется сама, если воткнуть диск или флешку.
Значит взломщик сидел на Линукс машине.

Цитата (spiderv @ 17.02.2022 - 17:00)

Цитата (Батарейкин @ 17.02.2022 - 11:49) А такой каталог как класс существует?А то мне то же на почту сообщение пришло,дай денег я твой маршрутизаторвебка ломал и хули? Судя по имени каталога - это внешний диск. Странный выбор для хакера, он заранее не мог знать, что этот диск воткнут. Значит сломали именно ssh. Совет 1сникам - используйте Effector Saver. Отличная штука, даже купить можно, недорогая.

Не обязательно внешний.
Во-первых, внешние диски несколько иначе называются, когда там отображаются. Обычно по метке тома
Во-вторых, куда были права, туда и писали..

Было у нас такое года три назад. Только еще номер телефона был написан.
Архивы сохранялись раз в неделю. Директор пару часов репу почесал стал выбирать между восстанавливать по архиву почти недельной давности и отдать мошеннику 20 тысяч рублей. Первое - реальный кошмар, второе - ему разок в кафе не посидеть. Выбрал второе. Мошенник ему за это рассказал как взломал, что делать чтобы не повторилось. Вроде директор даже доволен остался.

Тут позвонили пострадавшие, говорят базу зашифровали.
-Сколько просят?
-6000.
-Блин, чет совсем охамели....
Начинаю склонять к тому, что либо искать резервные копии и вбивать все вручную, либо платить.
-Но 6000 руб, говорит, наверное проще заплатить.
-а, рублей? Конечно платить, я думал в долларах...

Цитата (combatunit @ 17.02.2022 - 13:07)

Во-первых, внешние диски несколько иначе называются, когда там отображаются. Обычно по метке тома

Как в fstab назовёшь , так и отображаются

Цитата (Skrut @ 17.02.2022 - 17:17)

Цитата (combatunit @ 17.02.2022 - 13:07) Во-первых, внешние диски несколько иначе называются, когда там отображаются. Обычно по метке тома Как в fstab назовёшь , так и отображаются

А съёмные же конечно

Бэкапы надо хранить в незашифрованном виде.

Цитата (Dixi13 @ 17.02.2022 - 11:49)

7z ломается на раз-два, кстати. В отличие от RARа, например.

Давай я тебе 7z-архив с голыми бабами запароленный пришлю. Взломаешь - твои будут.
Это сообщение отредактировал Verevkin - 17 фев 2022 в 13:26