Ні для кого не секрет, що по мережі гуляє маса шифрувальників, які можуть в лічені хвилини перетворити дані на комп'ютері в гарбуз. З огляду на, що займаюся я в тому числі і приходять адмінством, для мене людські сльози про втрату даних не були чимось незвичайним. Але одна справа, коли дані втрачає умовна тітка Глаша з відділу кадрів умовної ТОВ "Автопілот", і зовсім інша справа, коли біда стосується тебе самого. Руки починають трястися, а яйця покриваються інеєм.
Вночі один з наших партнерів 1с займався твором коду підключившись до нашого сервера по РДП. До 12 ночі я отримав від нього смс, що його викинуло з сервера, а обліковий запис для входу відключена. Стало зрозуміло, що хтось нам підкинув неприємностей.
Вранці, діставшись до місця і реанімувавши учетку адміна, очима постала картина маслом - всі файли, пов'язані з роботою БД, були дбайливо упаковані в архіви rar з паролем.
Що сталося? Зловмисник отримав доступ по протоколу RDP і цілеспрямовано накоїв справ, зажадавши за спокутування нашої дурості і недалекоглядності грошей. Стандартна історія, яка відбувалася вже з кимось із знайомих. Але в нашому випадку на кону стояли БД об'ємом 50 з дрібним Гб і робота магазину.
Недовго подумавши з керівництвом, було вирішено виходити на зв'язок зі зловмисником і намагатися домовитися. Потрібно віддати належне, але на тому кінці нас чекали і були готові прийняти наші доводи в криптовалюта. Забігаючи вперед скажу, що все закінчилося для нас благополучно і дані були відновлені, а дірки на швидку руку залатані. Про ступінь дурості такого результату судити не беруся, бо віддати 19 тисяч і продовжити працювати всяко вигідніше, ніж розгортати бази магазину з нуля.
У нашому випадку був підібраний пароль облікового запису, яка входила в групу Адміністратори домену, але мала пароль нестійкий до перебору - 123456.
приберіть вразливість, пов'язану з виконанням команди REG ADD "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File ExecutionOptions \ sethc.exe" / v Debugger / t REG_SZ / d "C: \ windows \ system32 \ cmd.exe"
Крім цього дбайливими руками зловмисника були повністю видалені бекапи БД зберігалися на відчуженість носії, але, на жаль, в цій же локальній мережі.
Все це навело на багато роздуми і змусило грати за правилами зломщика. Опинися на його місці школяр-менш підприємливий лиходій, наслідки могли бути набагато більш плачевними.
Ну і як усували наслідки. Насамперед на маршрутизаторі перенаправили порт для підключення по РДП зі стандартного, на випадковий 5 значний. Видалили підозрілі облікові записи в AD. Змінили паролі користувачам, що входять до групи адміністраторів домену. Виключили з цієї групи всіх недостойних. Обмежили доступ до мережевих кулях і розділах дисків зі службовою інформацією. Просканували всі диски сервера доктор Інтернетом.
В цілому охренев від такого "щастя", вирішили задуматися про більш суворому розмежування прав, виділення сервера терміналів в DMZ, придбання брандмауера, організації VPN підключень.
Сподіваюся ці очевидні і прості правила, а так же цей смішний, але в той же час сумний, приклад послужать для кого-то уроком і стимулом не залишати подібні речі без уваги.
Всім добра і поменше дірок в безпеці.
Ох, ще один аргумент.
Політику паролів вимкнув, щоб призначати паролі "попроще" буквально парі людей, але їм підключення до серверів заборонено.
А так все учеткі створював з восьмизначними паролями, з цифрами, знаками, різним регістром. Люди пошіпелі, пристарілих особливо погунделі, але що поробиш.
Ну і порт, звичайно, зробив кастомний.
Бекапи всіх систем, образами, зрідка роблю і зберігаю на знімному диску.
Бекапи 1С викладаю раз в тиждень.
Чи не супер захист, але вже краще так, ніж ніяк.
Уже прицінився до роутера, щоб налаштувати і розіслати філіям, зробити vpn, але все якось. Як уявлю, як мені це все змушувати їх робити віддалено, так Здригніться.
Люди зовсім далекі від спеціальності, мені буде боляче.
І все це якось відкладається-прокрастініруется у мене)
А цей пост мене, Лановик таку, підстьобує: з