Вот такая петрушка

Цитата (Verevkin @ 17.02.2022 - 14:22)

Бэкапы надо хранить в незашифрованном виде.

При этом на компьютере к которому нет доступа с источника.

Кстати самый простой способ проверить ssh

Цитата

grep "authentication failure\|Failed password for" /var/log/auth.log | wc -l;

А вообще iptables настраивается должным образом, ну или fail2ban на крайняк
Это сообщение отредактировал Den4ik58 - 17 фев 2022 в 13:50

Цитата (makstex @ 17.02.2022 - 13:26)

Цитата (Verevkin @ 17.02.2022 - 14:22) Бэкапы надо хранить в незашифрованном виде.  При этом на компьютере к которому нет доступа с источника.

Все проще, на отдельном сервере поднимается ftp с правами только на запись, и все.

простым бат-файлом на вин машине меняешь пути к базе в конфигфайле - и паника на весь мир обеспечена. поди и сама адынесия еще поломанная со всех сторон стоит)

Цитата

Все проще, на отдельном сервере поднимается ftp с правами только на запись, и все.

слишком сложно жеж) проще на серве с 1с поднять ftp и с него собирать скриптом на хранилище и сортировать и при необходимости восстанавливать.
Это сообщение отредактировал smashteam - 17 фев 2022 в 13:35

ТС, ау ! Рассказывать, как доступ к серваку организован будешь, не ?

Цитата (Skrut @ 17.02.2022 - 13:49)

ТС, ау !   Рассказывать, как доступ к серваку организован будешь, не ?

Да нечего пока рассказывать.
Наружу смотрел порт ссх с сертификатом и внц еще был.
Организовано прямое подключение к серверу через тонкого клиента, не web.
Есть подозрение что порт на консоль кластера тоже наружу смотрел, и был не запаролен, но пока ответа на этот вопрос нет

Но даже если через консоль, то как минимум от постгре надо пароль знать чтоб залить конфу свою. Вобщем пока вопросов больше чем ответов

Это сообщение отредактировал Den4ik58 - 17 фев 2022 в 13:55

Цитата (Den4ik58 @ 17.02.2022 - 13:52)

Цитата (Skrut @ 17.02.2022 - 13:49) ТС, ау !   Рассказывать, как доступ к серваку организован будешь, не ? Да нечего пока рассказывать. Наружу смотрел порт ссх с сертификатом и внц еще был.

VNC "в мир" торчал? Кроса-а-а-авчеги !
Собсно, думаю , дальше можно не копать.

Цитата (Den4ik58 @ 17.02.2022 - 13:52)

Организовано прямое подключение к серверу через тонкого клиента, не web.

об этом и спрашиваю КАК ИМЕННО ?

Цитата (Den4ik58 @ 17.02.2022 - 13:27)

Все проще, на отдельном сервере поднимается ftp с правами только на запись, и все.

Нетъ.
Боевой сервер никуда не должен лазать, ибо если он куда-то лезет, значит хранит адрес и пароли этого "куда-то". Дальше - дело техники

Цитата (smashteam @ 17.02.2022 - 13:31)

проще на серве с 1с поднять ftp и с него собирать скриптом на хранилище и сортировать и при необходимости восстанавливать.

Вотъ !
Бэкапер должен забирать с боевого, а не боевой пихать бэкаперу.
Заодно создаётся обманка для хакера. Хакер видит на боевом серваке папку "бэкап", грохает её и успокаивается. А то что кажную ночь с этой папки бэкап втихую кто-то забирает, хакер и не знает.

Тока не ftp а rsync

Цитата (Den4ik58 @ 17.02.2022 - 13:26)

Кстати самый простой способ проверить ssh Цитата grep "authentication failure\|Failed password for" /var/log/auth.log | wc -l;

Это если пароль тупо сбрутили.
А если залезли через какую-нить ошибку - нихрена в логе не будет

Цитата (Den4ik58 @ 17.02.2022 - 13:26)

А вообще iptables настраивается должным образом,

как тебе iptables поможет защитить ошибки в демонах ?

Цитата (Den4ik58 @ 17.02.2022 - 13:26)

ну или fail2ban на крайняк

Ну на крайняк - да
Это сообщение отредактировал Skrut - 17 фев 2022 в 14:46

0.01 биток это более чем по божески, у меня знакомые в прошлом году на 100 к. Р. встряли с шифровальщиком...
Размещено через приложение ЯПлакалъ

Цитата (Verevkin @ 17.02.2022 - 13:25)

Цитата (Dixi13 @ 17.02.2022 - 11:49) 7z ломается на раз-два, кстати. В отличие от RARа, например. Давай я тебе 7z-архив с голыми бабами запароленный пришлю. Взломаешь - твои будут.

он, наверное, имел ввиду обычный .zip, но он вообще не паролится от слова совсем :)

У злоумышленника ящик на bk.ru. При желании можно его за яйца схватить, при участии правоохранительных органов. Затребовать логи, посмотреть с каких айпишников он на свой ящик заходил. Думаю, что какой-то школьник решил по-легкому деньжат срубить, судя по тому, что он ящик на площадке mail.ru использует.
Это сообщение отредактировал flaitsman - 17 фев 2022 в 14:52

Цитата (Damirius @ 17.02.2022 - 11:49)

Скорее всего ничего не удалено, а экран блокируется этой херней. Надо зайти в безопасном режиме и в корневых папках найти exe файл с этим говном и затереть

Этой ерундой с анимированными педиками на экране лет 5 никто не занимается.
Взломали 1С, торчащую в интернет и поменяли страницу приветствия. Надпись "postgres" намекает, что админ должен быть чуточку компетентнее эникея, скорее будут растягивать анус 1с-программисту, въебавшему себе пароль 123. Чистить бд от данных так, что б она потом хотя бы запустилась довольно геморно, тут какой то фокус есть, либо урка совсем не ценит свое время. Поднять из бекапа дело 10 минут, либо 7z можно забрутить за считанные дни используя ресурсы ГПУ.
Платить выкуп - это как второй раз очко подставить, таким товарищам надо смириться, они не прошли эволюционный отбор.

Цитата (flaitsman @ 17.02.2022 - 14:49)

У злоумышленника ящик на bk.ru. При желании можно его за яйца схватить, при участии правоохранительных органов. Затребовать логи, посмотреть с каких айпишников он на свой ящик заходил. Думаю, что какой-то школьник решил по-легкому деньжат срубить, судя по тому, что он ящик на площадке mail.ru использует.

Ну будут там сингапурские ip, дальше-то что?

Цитата (spiderv @ 17.02.2022 - 13:00)

Цитата (Батарейкин @ 17.02.2022 - 11:49) А такой каталог как класс существует?А то мне то же на почту сообщение пришло,дай денег я твой маршрутизаторвебка ломал и хули? Судя по имени каталога - это внешний диск. Странный выбор для хакера, он заранее не мог знать, что этот диск воткнут. Значит сломали именно ssh. Совет 1сникам - используйте Effector Saver. Отличная штука, даже купить можно, недорогая.

cat /etc/mtab
ls -al /media
df -h
... в чем проблема тут узнавать-то?
Это сообщение отредактировал kazanec - 17 фев 2022 в 15:13

Цитата (flaitsman @ 17.02.2022 - 14:49)

У злоумышленника ящик на bk.ru. При желании можно его за яйца схватить, при участии правоохранительных органов. Затребовать логи, посмотреть с каких айпишников он на свой ящик заходил. Думаю, что какой-то школьник решил по-легкому деньжат срубить, судя по тому, что он ящик на площадке mail.ru использует.

Или оттуда пересылает письма ещё на 10 ящиков. А те ещё на 10
Размещено через приложение ЯПлакалъ

Цитата (Verevkin @ 17.02.2022 - 13:25)

Давай я тебе 7z-архив с голыми бабами запароленный пришлю. Взломаешь - твои будут.

( мечтательно ) эх, вот если б реальную бабу можно было б заархивировать, и доставать по мере надобности

одмину жопу развальцевать. ACL должен быть настроен так, что только пользователь, от которого стартуют процессы 1с (или mssql) имеют права на rw в директории, где лежат баз, еще один пользователь (если файловая БД), от имени которого стартует сервис резервного копирования. Собственно, дело 30 минут. Резервное копирование критов, вроде директории юзверей, аналогично, в директорию, куда сыпятся резервные копии - юзверю на чтение, службе резервного копирования - rw, больше никому, даже админу - если надо, он сам переназначит права. права администратора забрать у пользователя и не отдавать под пытками гендира, или под расписку о том, что оба проинформированы о возможных рисках.
На моей памяти, такой факап был один раз у прораба, лет 17, но это не страшно, он там все равно, только порнуху смотрел в бытовке:)
Это сообщение отредактировал s083r - 17 фев 2022 в 15:52

Цитата (Creeepy @ 17.02.2022 - 10:46)

Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать. ЗЫ. А еще не надо по ссылочкам сомнительным переходить и запускать всякие файлики из почты.

У знакомого сервак ломанули по белому IP, никто по ссылкам не ходил, просто дыры были в сервере

Цитата (Den4ik58 @ 17.02.2022 - 11:48)

Цитата (Creeepy @ 17.02.2022 - 11:46) Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать. Сервер 1C на Linux, нет там ни каких антивирусов. Порты закрыты, доступ через SSH по сертификату. Как так получилось непонятно, но очень интересно

Скорее всего запустили обработку с вирусом.

Цитата (Den4ik58 @ 17.02.2022 - 12:00)

Цитата (Котовоз @ 17.02.2022 - 11:55) Вводных мало. "Взломали 1С" - это словами в чем выражается, кроме скриншота, непонятно с чего? Ну как минимум надо знать пароль от кластера 1с, пароль от БД, пароль пользователя. Ну или получить доступ к консоли самого сервака. Каким образом это вышло непонятно, буду разбираться так как очень интересно в образовательных целях

Смори у кого есть админский доступ к базе, кто может обработки внешние запускать. Скорее всего это обработка.

Цитата (nettoxic @ 17.02.2022 - 16:12)

Цитата (Den4ik58 @ 17.02.2022 - 12:00) Цитата (Котовоз @ 17.02.2022 - 11:55) Вводных мало. "Взломали 1С" - это словами в чем выражается, кроме скриншота, непонятно с чего? Ну как минимум надо знать пароль от кластера 1с, пароль от БД, пароль пользователя. Ну или получить доступ к консоли самого сервака. Каким образом это вышло непонятно, буду разбираться так как очень интересно в образовательных целях Смори у кого есть админский доступ к базе, кто может обработки внешние запускать. Скорее всего это обработка.

Наиболее логичный вариант. Права админа + внешняя обработина. Все туннели и пароли на кластер/базу в пролете - для системы это законное подключение пользователя. А что пользователь базу снес - так у него права есть.

Цитата (Creeepy @ 17.02.2022 - 11:46)

Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать. ЗЫ. А еще не надо по ссылочкам сомнительным переходить и запускать всякие файлики из почты.

Причем тут антивирус? Тупо проеб данных для входа. И "хакер" просто архивнул нужные файлы с паролем. На одной из работ у клиента так лоамнули разраба 1с, а у того на почте все данные для входа на сервер. Ну и платили около 70к рублей запароль от винрара

Цитата (KirKaifat @ 17.02.2022 - 17:06)

Цитата (Creeepy @ 17.02.2022 - 11:46) Ловушка для админа-рас3.14здяя. Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать. ЗЫ. А еще не надо по ссылочкам сомнительным переходить и запускать всякие файлики из почты. Причем тут антивирус? Тупо проеб данных для входа. И "хакер" просто архивнул нужные файлы с паролем.

И заменил конфигурацию, очевидно.. Окошко-то из 1С выходит.

Цитата (WED @ 17.02.2022 - 11:52)

Цитата (Den4ik58 @ 17.02.2022 - 11:49) Да копии есть, интересно как так получилось.. Простые пароли для офисного планктона, антивирус обновлённый ещё при Сталине, прокладка между клавиатурой и офисным стулом тыкающая на ссылки, админ распиздяй.

Охренеть диагност
Пост и комментарии лучше читать, прежде чем писать гениальные комментарии

Если админ грамотный, такая хрень у него никогда не произойдёт.
Размещено через приложение ЯПлакалъ

Цитата (Selkup @ 17.02.2022 - 18:49)

Если админ грамотный, такая хрень у него никогда не произойдёт.

Админ настроил сервер, субд и платформу и отдал программисту, потому что дальше не его работа, тот напилил пользователей с полными правами без нормальных паролей, потому что ему так удобнее и все заверте...
Я, как админ, никогда не полезу дальше окна логина, мне эта 1с не всралась, пусть бухи прогера дрочат по своим интимным вопросам. Админ долбоеб, если ломанули сервак, программист долбоеб - если ломанули базу, ну а если они оба сочетаются в одном лице, то круг подозреваемых сужается до единственного персонажа)