#0
by denklu
2008 1с7.7 RDP. без домена. Все лицензионное. Заметил повышенную нагрузку, svchost.exe. посмотрел IP на которые он обращается - bitcoin miner. посмотрел журналы: от имени системы создается новая учетка, назначаются админские права, подключаются по RDP. загружают mimikatz, тут наконец срабатывает ESET и прибивает 3 различных варианта mimikatz. Далее десяток неудачных попыток входа под имеющимися учетками. выход. На следующий день запуск bitcoin miner. больше подозрительного ничего не вижу. IP, имя компьютера видны, но это Wireless network в Ногинске. Пока все проверяю, но ничего не трогаю, т.к. miner это самое безобидное, что могут сделать злоумышленники в данной ситуации. Сразу скажу моя квалификация невысокая, я на фирме "все-в-одном флаконе" и программист 1с и сисадмин, и ремонтник сейчас еще и менеджера подменяю. По теме: обновления все стоят, из интернета видны только измененный порт RDP и FTP. в локалке 6 компов (10-ка, 7-ка). 445 закрыть не могу (тогда не видно сервера), 135, 137, ... закрыты. запустил полную проверку eset, dr.web CureIt, касперский VRT. Кроме этого запущенного miner ничего не находят. у меня активна учетка Гость, но у нее доступ только у одной расшаренной папке. Поддержка ESET предположила, что это и есть "узкое место", через зараженный локальный компьютер. Сейчас проверяю остальные локальные компы. Если это было бы действительно единственным узким местом был бы очень рад, но сомневаюсь. бэкапы делаются и на внешний и в облако. но если после перезагрузки все зашифруется, мне мало все-равно не покажется. Посоветуйте, как и что еще можно проверить. ссылки почитать, желательно поконкретнее и по-русски.
#6
by ДемонМаксвелла
Доступ злоумышленниками уже получен, и это равносильно начавшемуся пожару. Время для "пока все проверяю, но ничего не трогаю" вышло
#11
by denklu
Смотрю, ни чего не меняется, люди у нас все такие же "добрые". Гость есть, но у него не было прав на RDP. да и пользователь создавался не из под RDP а от имени системы с вх я вчера получил часть ЗП за май, так что платить кому-то мне очень тяжело. могли и роутер сломать, но как это понять и что это меняет обновления все стоят
#12
by volfy
не борись с ветряной мельницей, обеззараженных компов сейчас почти нет, удали его. Я сомневаюсь что он снова там появится.
#13
by volfy
Сбербанки, РЖД, Аэрофлоты ловят вирусы, куда уж тут пытаться маленькую конторку на все 100% защитить.. За это время больше другого полезного сделаешь, главное бэкапы делай =)
#14
by YFedor
Запретить всем пользователям запускать любые программы, кроме перечисленных. Этим ты снизишь уровень опасности заражения сервера изнутри
#16
by lodger
ну тащем-то, чем меньше организация и чем больше гестаповских порядков у ИТ-службы, тем проще защитить конторку.
#22
by NorthWind
Настройте VPN и все доступы давайте только внутри нее. Открытых портов не держите вообще, если в этом нет жизненной, прямо-таки железобетонной необходимости. В прочих случаях VPN-клиент и после установки туннеля делайте что хотите.
#23
by NorthWind
понятное дело, что VPN-клиент должен быть с серьезной авторизацией, в идеале с сертификатами, каждый из которых имеет ограниченное время жизни и может быть снят с доверия в любой момент. И давать доступ кому попало не следует.
#24
by denklu
"Запретить всем пользователям запускать любые программы" попробую, у меня вообще только 1с в режиме remoteApp, вот если бы запретить удаленный рабочий стол. Хотя вражеская учетка и ее права создавались безо всякого RDP. вот эта статья меня еще больше напугала и это 8 лет назад. а так сейчас делаю из обычного компа дублера сервера. и завтра буду чиститься и перезагружаться. VPN пробовал, но были проблемы, поэтому не довел до конца. С другой стороны если взлом произошел из локалки, то VPN на мой взгляд тоже не поможет.
#25
by NorthWind
из локалки вообще мало что поможет. Только очень жесткое ограничение прав и белый список на программы.
#27
by NorthWind
в статье ничего дико страшного нет, кстати. У атакующего не должно быть прав на атакуемой машине на запуск программ. Поднять права - отдельная очень и очень непростая тема, для этого приходится эксплуатировать дыры, которых не так уж много и не так уж часто удается ими воспользоваться.
#28
by ДемонМаксвелла
Платить должна контора, а не ты. Разумеется. И не надо бояться признать свой (или не свой) косяк, или что чего-то не знаешь. Затягивая решение ты только делаешь хуже.
#29
by denklu
позвонил в Электронный век. вроде цена по проверке безопасности не сильно заоблачная, платить буду сам. никто не сталкивался с этой конторой?
#30
by Garykom
1. Голый RDP ломается, даже накатывание всех патчей вовремя не спасет, хоть тупым перебором доломают если защита/блокировка не стоит от брутфорса. 2. Закрывать порты надо на роутере, а не на сервере, но и это не спасет от слома роутера. 3. Поднятие VPN (с отрубанием всего прочего) увеличивает надежность что не сломают.
#31
by NorthWind
ну да, цена не заоблачная, за эту цену вы услышите слово "плохо". Следующий вопрос будет - как сделать хорошо. И вот тут-то цена будет уже другая :)
#32
by denklu
так перебора почти и не было, пробежались по двум учеткам, одна,кстати, заблокировалась, после 5 неправильных паролей. беспокоит что имя учетки правильное(хотя и сложное), то есть список пользователей они уже увидели.
#33
by craxx
2008 даже не R2? ну я вас поздравляю! у моих клиентов в марте ломанули такой же 2008, через одну шикарнейшую дырку, когда винлогон падал на залипании шифта (пятикратное нажатие), и позволял выбрать отладчик. ну ты выбирал ессно cmd, и после этого тачка была полностью в твоих руках. так как cmd запускался от имени системы, соотв. можно было из командной строки завести любого юзверя с любыми правами.
#34
by denklu
кстати, в программе и библиотеках которые они мне закачали частенько фигурирует "Kali". Википедия: Kali Linux - ..... Предназначен прежде всего для проведения тестов на безопасность.
#35
by denklu
2008 R2 standart. ну так это же нужно физический доступ к серверу доступ иметь. а я в единственном лице и ключи от шкафчика только у меня и у директора.
#37
by mistеr
Примерный план действий. Сохранить базы и прочие данные. Снять образ системы (на случай если интересно потом покопаться). Переставить систему Пропатчить систему. Настроить систему. RDP только с сертификатами, фаервол, аудит и т.д. Поставить и настроить весь софт. Настроить бэкапы. Самый главный пункт. Настроить политики ограниченного использования программ. Предварительно изучить матчасть. Протестировать все. Пустить юзверей. Ну и быть готовым, что в следующий раз загрузят не майнер, а шифровальщик. Отработать сценарий восстановления. По итогам написать пост на Хабре и заработать кармы.
#39
by mistеr
Если бы работали только из локалки, то да, второе. Но работают и через интернет, поэтому сертификаты.
#40
by denklu
а как быть в локальной сети? там полюбому все разрешены. м ожет кто знает в каких случаях пользователь создается от SubjectUserSid S-1-5-18
Тэги: Админ
Ответить:
Комментарии доступны только авторизированным пользователям
Похожие вопросы 1С
- Сервер 2003 и компы в сети, Раб. станции видят, но не могут зайти на сервер
- Определение сервера под сервер приложений и сервер SQL
- Ключ защиты установлен на сервере 1, а сервер 1С 8.1 на сервере 2
- Можно на один сервер ставить терминал, сервер предприятия и sql сервер
- Сервер приложений + сервер базы данных
- переносим сервер 1с на другой сервер, можноли оставить ключи на старом сервере?
- Как оптимальнее расселить сервер терминалов, сервер СУБД и сервер 1С на 2 сервера
- 1С8.2: Оптимальное размещение SQL сервера, сервера 1С, терминального сервера
В этой группе 1С
- Как в УТ 11.3 настроить чтобы была возможность перемещать товар между организациями?
- КД 2.1 Задание конкретного счета реквизиту приемника
- push сообщения: Ошибка установки ssl соединения при отправке через сервер 1c на ios
- Розница 2.2 на 8.3 Как включить ЕГаис?
- Невозможно получить текущего пользователя в сеансе внешнего пользователя
- БП3.0. Ошибка при формировании отчета "Расчет по страховым взносам"
- ЗУП 2.5. Реестр в РСВ не работает?
- Перерасчет начисления по больничному (исправление) - Страховые взносы
- УПП, удален РН НДСпоОСиНМА
- Обоснование нового префикса платежных поручений в УТ 11.3
- Как просмотреть результаты выполнения запроса в отладчике?
- Oшибочно заполняется расчет по страховым взносам раздел 1 прил1 1с зуп 2.5 при перерасчете
- УТ 11. Учет бонусов, выдаваемых товаром или продажа ниже себестоимости...
- 1с rls скд не выходят настройки
- УПП 1.3: справка-расчет по переоценке валютных средств
- ЗУП 2.5 заполнение РСВ
- V8: Можно ли в одну кассовую смену на одной ККТ пробивать ПКО и чеки розницы? (УПП1.3)
- Ошибка при выгрузке по самописным правилам. "Поле объекта не обнаружено"
- Управляемая форма, извлечение результатов
- Открыть форму из обработки внешней печатной формы 1С 8.3