No Image

Rob1111stewar usa com какие следы оставляет

73 просмотров
11 марта 2020

Иногда приходится сталкиваться с ситуациями, когда не совсем понятно, как смогло произойти то или иное событие на компьютере пользователя или сервере компании. Руководители звонят, начинают обрисовывать ситуацию, и по мере рассказа приходит понимание, что безопасности и резервных копий много не бывает.

Как говорится, все пользователи делятся на тех, кто уже делает резервные копии информации, и тех, кто будет делать эти копии.

Возвращаюсь к наболевшему. В этот раз столкнулся с ситуацией, когда пользователь, в очередной раз скачав какую-то лабуду из инета, подхватил заразу в виде:

«Внимание!
Ваши данные заархивированы с паролем, использование их невозможно.
Для получения пароля к архиву от вас требуется оплата 19000р на Bitcoin кошелек (инструкции по оплате вам будут выданы после вашего обращения).
При согласии напишите на почту rob1111stewar@hotmail.com , указав в обращении IP адрес вашего сервера (внешний, его можно узнать, открыв сайт 2ip.ru).
IP адрес необходим для выдачи вам вашего персонального пароля от архивов. Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера, во избежании подобных ситуаций в будущем.»

Началось все с того, что, придя утром на работу, Директор не смог войти в свою учетную запись на терминальном сервере. Появлялось следующее сообщение:

(Ваша учетная запись отключена. Обратитесь к системному администратору)

При том другие учетки (менеджеров, работников склада и бухгалтеров) работали без проблем. Но посыпались жалобы, что пользователи не могут войти в 1С.

Начинаем разбираться в сложившейся ситуации…
Пробую со своего компа подключиться по internet к серверу под учетной записью Администратора: аналогичная ситуация – запись отключена. Получается, что доступ к административной части сервера заблокирован так, как единственная админская запись отключена. Интересно…

Проблема не велика, включить сложностей не составляет. Загружаемся в безопасном режиме, вводим пароль от администратора и затем в командной строке набираем:

net user Администратор /active:yes

Перезагружаемся. Пробуем подключиться , logon прошел без проблем. Выясняем дальше, что же произошло? Сразу оговорюсь, на терминалке антивируса не было.
Проверяю резервное копирование. Захожу в Систему архивации данных Windows Server вижу, что резервные копии выполнялись, последняя была 2.08.2016 в 21-00.


Уфф, выдохнул. Подумал, что даже, если что-то произошло, восстановлю из резервной копии, все заработает. Начинаю проверять дальше, пробую восстановление, вылетает ошибка:

Проверяю диск для бэкапов, а он чист, как будто только что с завода и вчера установлен. Попытки восстановить информацию с помощью RStudio или EASEUS Data Recovery Wizard Pro успехом не увенчались.
Ладно, может 1С запускается с ошибкой

(Отсутствует файл базы данных)
Из-за того, что каким-то образом сбились права на папки, лезу в папку и нахожу там очередную «странность», файл 1Cv8.1CD весит всего 800 кб. Опаньки, базы на 5 Гб и несколько лет работы НЕТ!

Читайте также:  Дата выхода интел 9 поколения

Сообщаю о случившемся руководству. Базу надо откуда-то брать, как вариант – возможно директор проявил дополнительную бдительность и копировал базу себе. (В последствии так оно и оказалось, были потеряны лишь несколько дней работы)

Запускаем антивирусную проверку, начинаем изучать логи сервера.
Касперский Virus Removal Tool

После сканирования антивирус выдает следующую картину

На диске, где хранится база, находится архив 1CBase.rar с парольной защитой. Там же лежит много файлов "ВАЖНО. txt".
Изучив материал на virusinfo.info и forum.kasperskyclub.ru, понимаю, что на подборку пароля к архиву перебором уйдут недели и вряд ли получится, а создавать отдельную тему и просить помощи у знатоков с вышеупомянутых форумов смысла нет.

Итог:
Базу восстановили с небольшой потерей. Денег платить не стали.
Как я думаю, все это произошло:
1.Сотрудник под пользователем admin заразил сервак целым букетом проблем. Заражение прилетело из инета с архивом DUBrute v.21 + Nmap 5.51 + 2 VNC Scanners.rar Cканировал этот файл на VirusTotal, результат:

2. Злоумышленник получил пароли от учетной записи admin и Администратор, и пошло – поехало. Дальше дело техники.
3. Надо сказать, что пароли были простые. Сервер смотрел в инет стандартным rdp портом. Антивируса не было.

В настоящее время по максимуму постарались предотвратить подобную ситуацию в будущем. Будем верить, что такого больше не произойдет.

wandergraf

Новый пользователь

Добрый день!
Зашифровали файлы баз данных 1С. Возможности восстановить данные из бекапа нет

Архив базы занимает 4,5 гб.

Пожалуйста, помогите с восстановлением.

Вложения

Sandor

Пару зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

Пожалуйста, перезагрузите компьютер вручную.

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

wandergraf

Новый пользователь

Скрипт выполнил. Перезагрузился.
Отчет во вложении.

Вложения

Sandor

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Читайте также:  Excel фильтр уникальных значений

На прошлой неделе (октябрь 2015 года) обратился ко мне старый друг с просьбой помочь. Случилась у них катастрофа с бухгалтерией.

С компанией мы знакомы давно, с директором дружим семьями уже лет 10-ть. Года 1.5 назад они к нам обращались за помощью, но по некоторым причинам отказались от наших услуг. В результате заключили договор с компанией 1С франчайзи, которая их начала обслуживать удаленно. Компания уверяла, что все будет хорошо, до поры до времени.

Но вот, в один прекрасный момент бухгалтер не может войти, базы данных нет, а через 10 дней сдача налогового учета.

— Что ж ты друг сердечный (говорю я), я же предлагал тебе несколько раз наши услуги.
— Ну, так случилось, ответил он, помоги.

Некоторые детали хакерской атаки. Ваш сервер одним портом смотрит в интернет, имеет реальный IP адрес с запущенным RDP сервисом. Очевидно, атака осуществляется по подбору пароля на RDP, хотя ниже приведу пару других вариантов. Вход по удаленной сессии разрешен администратору, которому даны права на управление не только базами 1С, но и остальными ресурсами сервера. После подбора пароля хакер входит, делает архив вашей базы архиватором WinRAR. Находит резервные копии, их укладывает в отдельный архив. На оба архива устанавливает пароль от 10-ти символов. Базы 1С и архивные копии удаляет eraser-ом. Создает текстовый файл с названием ВАЖНО. следующего содержания:

«Внимание! Ваши базы данных заархивированы с паролем, использование их невозможно. Для получения пароля к архиву от вас требуется оплата 18000р на Яндекс деньги.

При согласии напишите на почту rob1111stewar@hotmail.com, указав в обращении IP адрес вашего сервера (внешний, его можно узнать, открыв сайт 2ip.ru)
IP адрес необходим для выдачи вам вашего персонального пароля от архивов».

Результат: вы вынуждены платить хакеру, поскольку получить доступ к вашей базе невозможно. Расшифровка архива прямым перебором пароля займет очень долгое время.

Хакер оказался на удивление добр, после платежа выдал пароль и рекомендации по устранению проблем безопасности.

Вроде бы история закончена, но приведу возможные способы атак и варианты защиты от них:

1. Вариант прямого подбора пароля на доступ по RDP.
2. Вариант вирусной атаки с запуском программы управления сервера для взлома пароля.
3. Вариант диверсии со стороны обслуживающего персонала.

Читайте также:  Ocz agility 3 90gb

Третий вариант мы разбирать не будем, поскольку защиты от него не существует. Доверяя обслуживать ваши данные, вы всегда рискуете. Второй вариант можно обойти, если у вас на сервере установлен обновляемый антивирус. С этим также все достаточно просто. Остановимся на первом варианте и способах защиты.

1. Необходимо полностью исключить прямое подключение вашего сервера к сети. Если вам необходимо предоставить доступ извне, установите наружу межсетевой экран. В качестве примера можно привести не дорогой D-Link DFL-210/260. С его помощью вы заблокируете любые попытка скана и ненужные открытые порты в вашу сеть. Доступ к этому экрану внутри вашей сети должен быть ограничен.
2. Сервис RDP лучше всего перенаправить на порт, отличный от дефолтного.
3. Пароль на учетную запись, которая имеет право удаленного доступа, должен состоять из бессмысленного набора букв и цифр. Длина пароля должна быть не менее 10-ти символов.
4. На сервере установите ограничение на подбор пароля. Скажем после 5-ти попыток блокировка аккаунта на 10-15-30 минут.
5. Доступ администраторским аккаунтам извне заблокируйте, выделив отдельную учетную запись для ваших нужд.
6. Резервные копии должны быть доступны только администратору или пользователю резервного копирования. Права на папки к файлам резервного копирования также должны быть максимально ограничены.
7. Самый правильный вариант, раз в неделю делать резервные копии на переносной носитель. Подойдет ноутбук директора, бухгалтера.

Конечно, от всех типов хакерских и прочих атак полностью защититься невозможно. Но максимально усложнить жизнь хакеру вполне по силам. С вероятностью 90%, столкнувшись с таким сервером, хакер не будет тратить время на вас, а найдет жертву попроще.

От автора:
Коллеги, статья не является рекламой 1С или того хакера с именем Роб Стюарт. Это история из реальной жизни произошла неделю назад. Ориентирована она на простых смертных и самых начинающих администраторов.

Кроме того, автор статьи в курсе самых разных способов защиты, включая переброс порта RDP. Но он, то есть я, специально не стал акцентировать внимание на этом. Поскольку считаю, что перечисленных методов вполне достаточно для защиты.

П.С. Из не рассмотренных вариантов защиты — виртуализация. Разделить основную базу, доступ для обновлений, резервные копии, использование специализированного ПО. Ну и так далее, :).

Комментировать
73 просмотров
Комментариев нет, будьте первым кто его оставит

Это интересно
Adblock detector