Как найти подлеца, удалившего файлы? #444040

Не самая приятная ситуация произошла только что... Кто-то мувнул или удалил (что по сути роли не меняет)все als, cfg и dd файлы... Вопрос это случайность или чей-то злой умысел надо еще выяснять. Хотелось бы узнать каким образом можно вычислить человека и что можно предпринять что бы в дальнейшем такое не повторилось?

Не самая приятная ситуация произошла только что... Кто-то мувнул или удалил (что по сути роли не меняет)все als, cfg и dd файлы... Вопрос это случайность или чей-то злой умысел надо еще выяснять. Хотелось бы узнать каким образом можно вычислить человека и что можно предпринять что бы в дальнейшем такое не повторилось?

Делать бекапы.

Бэкапы то есть

Утюг, паяльник...

Терморектальный анализ :)

Если логи соответствующие не велись, то что тут сделаешь?

а что-нибудь более человечное... А то у меня порядка 80 юзеров... Вдруг не с того начну %)

на самом деле может быть и вирусня...

каталог доступен по сети? Тогда отрезай пальцы админу..

Еще очень интересный набор файлов удалился... Если мне память не изменяет, то удаление, копирование, перемещение делаются в порядке установленной сортировки... Что это блин за сортировка такая тогда

Во временя работы с 7.7 у адмна велись логи и он мог сказать кто, когда и какой файл на сервере изменил и куда скопировал.

Каталог по сети доступен... Хотя работают все в терминалке

Кого то уволили походу без выплаты зарплаты. )

Простите? Каталог базы 1С. Сделай его недоступным - увидишь, что получится... У всех юзеров на виду битой по голове генерального, а потом задать вопрос "Кто удалил файло?" Посмотри, мож вирь какой хитрож*опый или админ пошутил:)

Ну то что не админ точно... Рядом все-таки сидим :-)

все как обычно ... аудит настраивают когда гром ударил

ну знаете. Настраивать надо уметь. У нас каталог не всем доступен, до работаем + филиалы он-лайн ))

Уволить админа. Тогда уже следующий настроит аудит.

Очень сомнительно, не встречал вирусню так избирательно удаляющую файлы. Касательно сабжа, объяви что гражданин удаливший файлы, остается без премии в этом месяце, кто прибежит разбираться того и вяжи. А аудит нафиг не надо, это всякие админы заморачиваются аудитом, а настоящий адинэсник должен быть мудрее, и пользоваться народными методами сыска..

ищи дли-и-инную веревку и коридор :)

ты не путаешь доступность по сети с доступностью юзерам в терминале?

Есть еще категория особо одаренных юзеров... Они даже не знают, что потерли какие-то файлы, они вообще ничего не делают и не трогают... Причем, вполне серьезно и не врут. Но...

Да я уверен что все прибегут разбираться... И чел которое это сделал будет как и все со слюней изо рта доказывать что это не он

А тогда что мешало сделать недоступным каталог? Не... админ однозначно должне пострадать.

Речь о терминале где-то шла? не путаю.

А, не, шла... тогда да..

да :) см.

Хорошо что данные ни какие не удалили... Но что ссыкотно как-то...

Если кого и лишать премии, то админа и совсем не за ненастроенный аудит.

права то всем на базу полные давать нужно... тут уж как не крути

У меня тут одна альтернативно одаренная якобы после каждой строчки докум сохраняет. Только в журнале регистрации почему-то ничего по этому поводу нет, и фик докажешь. Сохраняла и все тут...

Это попытка получить неконтролируемый доступ к базе. Я трактую это однозначно так. И последующее удаление файлов - попытка маскировки данных действий. Привет админу.

Редкий зверь может сотворить что-либо противоправное в терминале.

У меня таких тоже хватает... Причем и в обратную сторону тоже... Показываешь в мониторе что ваш косяк, а в ответ "Нет, мы ничего не делали"

И что? Многие-ли смогут стереть файл из самой 1С-ны, если и в ней правильно раскиданы права?

А это позиция руководства. Нормальный босс такого "особо одаренного" быстренько научит за свою работу отвечать. Особо на фоне остальных "не особо одаренных".

А что там сложного??? Права на папку есть у всех, залезли в ExtForms из нее в корень базы и удаляй сколько душе угодно

А выключения питания не было ? А то, может быть, файлы на месте, а только ссылки на них пропали.

В ихнэй проклятой Америке давно придуман аудит....

Выключений не было... Все работало в спокойном режиме...

Удалили походу то, что смогли удалить. МД т.е. удалить не получилось, т.к. заблокирован.

Лучше выявить раззвиздяя сисадмина, дающего полный доступ всем подряд :)

любой юзер может стереть. У нас обычно ген дир и удалял. Это когда человек хочет скопировать базу и вместо копировать нажимает вырезать.

На 1Cv7.LCK споткнулись

Кстати да - там ещё CDX, DBF и MD, но при открытой базе их система стереть не даст - они открыты (и обычно ещё и заблокированы).

Вот и у меня такое же подозрение... Только кроме меня этого никто делать не должен... Кому нужна копия что бы там что-то потестить, меня просят я копирую и путь ставлю...

Кстати, а в других папках что-нить исчезло ? А то, может быть, пользователь вообще не базу хотел удалить, а что-то выше. прав - стоит поискать на рабочих столах пользователей - может файлы там.

Стоит акроникс ставить...

P.S. "берём" мышкой директорию с базой (или просто по ней "щёлкаем"). Дрогнула рука - и файло улетело хрен знает куда (сам так попадал, но я-то про "отмена" знаю).

Что сложного? Убираешь сетевой доступ к папке с базой. При входе в терминал сразу грузится 1С. Редкий зверь может напоганить.

Внешние отчеты тогда еще все надо убрать и тогда да

Акронис есть... Но как он может помочь???

если правильно настроить права, то всё будет ок.

У меня не убраны.

Запаришься их на семерке настраивать. Прикроешь файл-открыть, пролезут через регламентированные отчеты, или еще как.

не в семерке, а в ОС терминала надо правильно настроить права на файлы папки с базой.

Ключ - доплнительные настройки безопасности.

Если на каталог базы нет полных прав, то в базу не войти... Тут уж простите

Ха. Думаешь таких вумных много? Вскрыть из 7-ки терминал - нужно уже немного соображать.

только что пробовал, хотя и на XP. Прекрасно входит :)

Ню-ню.

На самом деле, можно на каждый файл повесить свои права (особенно на те, которые не перезаписываются простыми пользователями).

+Только надо знать как.

Просветишь?

ПКМ на объекте -> Свойства -> Безопасность -> Дополнительно. А лучше грамотного админа пригласить, а не ПТУ-шника :)

+Ничего особо хитрого там нет, но надо представлять, как всё это работает. Плюс к этому у конкретных ОСей есть свои приколы.

+Представлять надо четко :)

Соболиный, ты много таких грамотных юзеров то видел?

Я просто привел способ решения, который защитит и от грамотного юзера, хотя их действительно мало :)

+ к как выясняется, их мало даже среди тех, кто получает бабки за админство :)

Судя по дискуссии, ты уже гада не найдешь. Щас нужно идти другим путем: всех нах..й гнать с сервака, ставить на другой раздел прогу для восстановления файлов, восст-ть обратно. Базу можно защитить: 1) переводом на скуль; 2) либо создать пользователя отдельного, ему сложный пароль, права на папку с базой только ему. 1С-ку запускаешь отдельно через отдельную прогу, которая уже запустит саму 1С под нужным юзером. Выстави права грамотно  на запуск внешних обработок. Используй FormEx для доп. контроля запуска внешних обработок и открытия диалогов (ибо наср@ть можно из диалога открытия).

Сочувствую.

Прежде чем восстанавливать, советую поиском поискать файлы. Может их "по ошибке" перенесли в другое место...

Из диалога сохранения файла (например печатной формы) нагадить можно с тем же успехом. Файловая 1С (как и SQL - там MD тоже есть) очень не любит "грамотных" пользователей.

Ни фига ты способом из п.2 не добьешься :) Догадайся почему.

Поторопился ты :)

Грамотная расстановка прав на терминале решит практически все проблемы. Восстановление базы тем более проблемой не является.

(73, 74) тут вопрос вообще не в 100%-й защите, а в том, сколько времени нужно потратить, чтобы нагадить. Думаю, в надо было написать "дополнительно защитить"

а оно надо? файл DD восстанавливается за пять минут, CFG вообще не надо восстанавливать, наоборот полезно время от времени удалять, потому что он начинает безбожно тормозить программу.

Оно не просто не надо, оно бесполезно :)  И даже "дополнительной защиты" не дает. А вот доп. проблемы админу - сколько угодно, т.к. в базу все будут ходить под одним "суперюзером" Автора идеи переклинило :)

Файлики dd и cfg с утреннего бэкапа подняли так что все норм...

на неделе попробую у себя :) отпишусь, что получилось кстати, сабж невнимательно прочитал :)) из-за als, dd, cfg и не стоило переживать :)

Ну я писал что инфа не пострадала... Просто сама ситуация напрягает

Он сводит потери к минимуму. А чтобы поймать надо ставить файловый аудит на папку приказом директора...

пользуйтесь оснасткой "Мастер настройки безопасности" впредь

а по-любому - админу по шее, все настраивается

зачем?

Интересно будет, если выяснится, что удалил файлы автор топика...

Если бы это сделал я бы это помнил и не стал бы поднимать ветку

Рассмотри вопрос "слива" базы через "вырезать/вставить"... Подумай кто может быть заинтересован в копии базы...

Если через Total Commander мувнуть базу так при то что юзеры работают то как раз уделяются вот эти файлы... А все остальное на месте... Круг юзеров сузился... Это радует...

Господа! Лично знаю тамошнего админа, зря обижаете человека. А про грамотную настройку прав - объясните серому, Без полных прав на папку с базой пользователи будут в ней корректно работать? И акронис тут был не причем, сразу же сказали что из бэкапа всё достали. Там Symantec Backup Exec и на "ленточку" ежедневно ;) Обидно, что толкового ничего выходит и не посоветовали. :(

Не посоветовали? Я прямо пальцем показал в . Может приехать и настроить? Вполне могу. Дорога, проживание, командировочные, компенсация за потерю заработка здесь + за собственно работу на месте. А не дешевле нормального админа на месте найти? А обижать я никого не собирался. Если админ не знает и не умеет _такого_, то это ПТУ-шник и есть.

+Рекомендую дать тому админу почитать ветку :) Может его хоть это заставит учиться.

+Работать будут. Проверено.

если кнопка мыши залипает можно и самому мувнуть в соседние каталоги не задумываясь

Ты это, пальцы обратно отогни да, наверно тяжело так в двери заходить.

А при чем тут мои пальцы? :) Элементарная задача системного администрирования. Я ее решение за 2 минуты проверил - работает. Можешь сам проверить.

А причем тут - отогни пальцы? С каких пор настройка прав в терминале стала проблемой? Что, сложно настроить вход так, чтобы коцнуть не могли? Или может админу неизвестно, что можно сделать права, при которых файлы можно изменять, но нельзя удалять? И что при этом 1С будет работать? Или ему должны были все  настройки всех файлов/папок перечислить? Или в этой ветке учебники нужно дублировать?