взломали сервер #801340

2008 1с7.7 RDP. без домена. Все лицензионное. Заметил повышенную нагрузку, svchost.exe. посмотрел IP на которые он обращается - bitcoin miner. посмотрел журналы: от имени системы создается новая учетка, назначаются админские права, подключаются по RDP. загружают mimikatz, тут наконец срабатывает ESET и прибивает 3 различных варианта mimikatz. Далее десяток неудачных попыток входа под имеющимися учетками. выход. На следующий день запуск bitcoin miner. больше подозрительного ничего не вижу. IP, имя компьютера видны, но это Wireless network в Ногинске. Пока все проверяю, но ничего не трогаю, т.к. miner это самое безобидное, что могут сделать злоумышленники в данной ситуации. Сразу скажу моя квалификация невысокая, я на фирме "все-в-одном флаконе" и программист 1с и сисадмин, и ремонтник сейчас еще и  менеджера подменяю. По теме: обновления все стоят, из интернета видны только измененный порт RDP и FTP. в локалке 6 компов (10-ка, 7-ка). 445 закрыть не могу (тогда не видно сервера), 135, 137, ... закрыты. запустил полную проверку eset, dr.web CureIt, касперский VRT. Кроме этого запущенного miner ничего не находят. у меня активна учетка Гость, но у нее доступ только у одной расшаренной папке. Поддержка ESET предположила, что это и есть "узкое место", через зараженный локальный компьютер. Сейчас проверяю остальные локальные компы. Если это было бы действительно единственным узким местом был бы очень рад, но сомневаюсь. бэкапы делаются и на внешний и в облако. но если после перезагрузки все зашифруется, мне мало все-равно не покажется. Посоветуйте, как и что еще можно проверить. ссылки почитать, желательно поконкретнее и по-русски.

RDP снаружи еще и гость включен. Круто.

традиционно - позовите специалиста

Беги, Форест, беги

А роутер у вас случаем не могли взломать?

Доступ злоумышленниками уже получен, и это равносильно начавшемуся пожару. Время для "пока все проверяю, но ничего не трогаю" вышло

Я может и не прав, но поступаю в таких случаях в стиле удалил и забыл

заплатите нормальному админу - пусть настроить хотя бы 1 раз нормально

Почитать как поставить и настроить бронебойный firewall, ссылок в инете полно.

обновления то все стоят на винду?

Смотрю, ни чего не меняется, люди у нас все такие же "добрые". Гость есть, но у него не было прав на RDP. да и пользователь создавался не из под RDP а от имени системы с вх я вчера получил часть ЗП за май, так что платить кому-то мне очень тяжело. могли и роутер сломать, но как это понять и что это меняет обновления все стоят

не борись с ветряной мельницей, обеззараженных компов сейчас почти нет, удали его. Я сомневаюсь что он снова там появится.

Сбербанки, РЖД, Аэрофлоты ловят вирусы, куда уж тут пытаться маленькую конторку на все 100% защитить.. За это время больше другого полезного сделаешь, главное бэкапы делай =)

Запретить всем пользователям запускать любые программы, кроме перечисленных. Этим ты снизишь уровень опасности заражения сервера изнутри

ну самый популярный вход - почта...

ну тащем-то, чем меньше организация и чем больше гестаповских порядков у ИТ-службы, тем проще защитить конторку.

и что. в почте вложение - вирус скрипт или ехе ... а запустить его не смогут

читаем =) Все они его запустили... Не важно есть там права админа или нет

почему не смогут? ты белые списки используешь?

Бэкапы можно пробно восстановить куда-нибудь...

Конечно, я же сказал в . Сейчас уже да - я на будущее

Настройте VPN и все доступы давайте только внутри нее. Открытых портов не держите вообще, если в этом нет жизненной, прямо-таки железобетонной необходимости. В прочих случаях VPN-клиент и после установки туннеля делайте что хотите.

понятное дело, что VPN-клиент должен быть с серьезной авторизацией, в идеале с сертификатами, каждый из которых имеет ограниченное время жизни и может быть снят с доверия в любой момент. И давать доступ кому попало не следует.

"Запретить всем пользователям запускать любые программы" попробую, у меня вообще только 1с в режиме remoteApp, вот если бы запретить удаленный рабочий стол. Хотя вражеская учетка и ее права создавались безо всякого RDP. вот эта статья меня еще больше напугала и это 8 лет назад. а так сейчас делаю из обычного компа дублера сервера. и завтра буду чиститься и перезагружаться. VPN пробовал, но были проблемы, поэтому не довел до конца. С другой стороны если взлом произошел из локалки, то VPN на мой взгляд тоже не поможет.

из локалки вообще мало что поможет. Только очень жесткое ограничение прав и белый список на программы.

и конечно же, бэкап

в статье ничего дико страшного нет, кстати. У атакующего не должно быть прав на атакуемой машине на запуск программ. Поднять права - отдельная очень и очень непростая тема, для этого приходится эксплуатировать дыры, которых не так уж много и не так уж часто удается ими воспользоваться.

Платить должна контора, а не ты. Разумеется. И не надо бояться признать свой (или не свой) косяк, или что чего-то не знаешь. Затягивая решение ты только делаешь хуже.

позвонил в Электронный век. вроде цена по проверке безопасности не сильно заоблачная, платить буду сам. никто не сталкивался с этой конторой?

1. Голый RDP ломается, даже накатывание всех патчей вовремя не спасет, хоть тупым перебором доломают если защита/блокировка не стоит от брутфорса. 2. Закрывать порты надо на роутере, а не на сервере, но и это не спасет от слома роутера. 3. Поднятие VPN (с отрубанием всего прочего) увеличивает надежность что не сломают.

ну да, цена не заоблачная, за эту цену вы услышите слово "плохо". Следующий вопрос будет - как сделать хорошо. И вот тут-то цена будет уже другая :)

так перебора почти и не было, пробежались по двум учеткам, одна,кстати, заблокировалась, после 5 неправильных паролей. беспокоит что имя учетки правильное(хотя и сложное), то есть список пользователей они уже увидели.

2008 даже не R2? ну я вас поздравляю! у моих клиентов в марте ломанули такой же 2008, через одну шикарнейшую дырку, когда винлогон падал на залипании шифта (пятикратное нажатие), и позволял выбрать отладчик. ну ты выбирал ессно cmd, и после этого тачка была полностью в твоих руках. так как cmd запускался от имени системы, соотв. можно было из командной строки завести любого юзверя с любыми правами.

кстати, в программе и библиотеках которые они мне закачали частенько фигурирует "Kali". Википедия: Kali Linux - ..... Предназначен прежде всего для проведения тестов на безопасность.

2008 R2 standart. ну так это же нужно физический доступ к серверу доступ иметь. а я в единственном лице и ключи от шкафчика только у меня и у директора.

через RDP ломается же. поди и порт стандартный установлен 3389?

Примерный план действий. Сохранить базы и прочие данные. Снять образ системы (на случай если интересно потом покопаться). Переставить систему Пропатчить систему. Настроить систему. RDP только с сертификатами, фаервол, аудит и т.д. Поставить и настроить весь софт. Настроить бэкапы. Самый главный пункт. Настроить политики ограниченного использования программ. Предварительно изучить матчасть. Протестировать все. Пустить юзверей. Ну и быть готовым, что в следующий раз загрузят не майнер, а шифровальщик. Отработать сценарий восстановления. По итогам написать пост на Хабре и заработать кармы.

vpn либо вход  только с разрешенных айпишников. я бы выбрал второе. в данной ситуации

Если бы работали только из локалки, то да, второе. Но работают и через интернет, поэтому сертификаты.

а как быть в локальной сети? там полюбому все разрешены. м ожет кто знает в каких случаях пользователь создается от SubjectUserSid S-1-5-18

только  выпускаешь РДП наружу и начинается скан портов и буртфорс