Вот такая петрушка


Страницы: (15) « Первая ... 8 9 [10] 11 12 ... Последняя »	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

Maxim13	18.02.2022 - 08:51 [ показать ] 0
Статус: Offline Всегда Регистрация: 25.12.17 Сообщений: 7751	Известная тема. И рабочая до сих пор, судя по всему. Знаю крупную одежную торговую сеть, отдавшую мошенникам за восстановление доступа к своим ресурсам более 20 млн рублей. Году в 2016м вроде. До этого они пытались с помощью именитых антивирусных контор избавиться от засланного вируса или чего там у них было. Не помогло. Только время потеряли.
	[^]

sadk0

18.02.2022 - 08:51

Статус: Offline

Хохмач

Регистрация: 22.12.09
Сообщений: 701

Цитата (Creeepy @ 17.02.2022 - 11:46)

Ловушка для админа-рас3.14здяя.
Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать.

ЗЫ. А еще не надо по ссылочкам сомнительным переходить и запускать всякие файлики из почты.

Тут есть вопрос бюджетирования ИТ.
Если не дают денег на инфраструктуру то причем тут ИТ специалист?!

[^]

~~lion2006~~	18.02.2022 - 08:53 [ показать ] 0
Статус: Offline Ярила Регистрация: 15.05.14 Сообщений: 17881	ТС - а база реально убита? И где этот красивый баннер всплывает? Размещено через приложение ЯПлакалъ
	[^]

VampirBFW

18.02.2022 - 08:54

Статус: Offline

Главный Сапиосексуал Япа.

Регистрация: 20.02.10
Сообщений: 20984

Цитата (JohnDow @ 18.02.2022 - 07:34)

Инкримент ?

Именно, инкримент с шагом в 2 часа, суточный инкримент, слитый, затем недельный и месячный дикримент. И идут все шифровплщики в жопу

Размещено через приложение ЯПлакалъ

[^]

VampirBFW

18.02.2022 - 08:54

Статус: Offline

Главный Сапиосексуал Япа.

Регистрация: 20.02.10
Сообщений: 20984

Цитата

Тут есть вопрос бюджетирования ИТ.
Если не дают денег на инфраструктуру то причем тут ИТ специалист?!

А вам для бекапов нужна какая то охерительная инфраструктура? Их и на коленке сделать можно. Из старых хардрв, при желании

Размещено через приложение ЯПлакалъ

[^]

~~lion2006~~

18.02.2022 - 08:55

Статус: Offline

Ярила

Регистрация: 15.05.14
Сообщений: 17881

Цитата (Dancerrr @ 18.02.2022 - 08:42)

Если тронули базу под постгресскуль - значит был прямой взлом. Но моем опыте - ломают РДПху с простыми паролями.

Рдп жопой в инет вообще зло.

Размещено через приложение ЯПлакалъ

[^]

VampirBFW

18.02.2022 - 08:56

Статус: Offline

Главный Сапиосексуал Япа.

Регистрация: 20.02.10
Сообщений: 20984

Цитата (komodov @ 18.02.2022 - 08:38)

Антивирь каспер лицуха корпоративный.... Неловит :). В касперском руками разводят...типв ждите полгода года два...может поймают хпкеров и тогда есть шанс расшифровать. Я 3 разв налетал на этот пиздец. Все потому что бухи тупые тащут обновы с инетов с мутных сайтов типа постпвь это на свою платформу м отчеты будут создаваться сами....
Только бекап на другой сервак через софт для бекапа. И бекапный сервак вне домена с иным паролем.:). Все остальное неработает.

То есть ты как ИТ специалист ставишь на рабочую базу хуйпоймт что херпойми откуда? Или у тебя у духов полные права?

Размещено через приложение ЯПлакалъ

[^]

~~Primus525~~

18.02.2022 - 08:57

Статус: Offline

Ярила

Регистрация: 31.01.11
Сообщений: 11806

Цитата (Den4ik58 @ 17.02.2022 - 12:12)

Цитата (Котовоз @ 17.02.2022 - 12:08)

Цитата (Den4ik58 @ 17.02.2022 - 12:00)

Цитата (Котовоз @ 17.02.2022 - 11:55)

Вводных мало.
"Взломали 1С" - это словами в чем выражается, кроме скриншота, непонятно с чего?

Ну как минимум надо знать пароль от кластера 1с, пароль от БД, пароль пользователя. Ну или получить доступ к консоли самого сервака. Каким образом это вышло непонятно, буду разбираться так как очень интересно в образовательных целях

Логи RDP наше всё, если они не "всё".

Да нет там RDP. Linux+1C-Сервер+Postgres. Работают тонким клиентом

Внешнюю 1совскую обработку могли получить по почте и открыть.

С правами внутри базы обычно никто не заморачивается.

Это сообщение отредактировал Primus525 - 18.02.2022 - 08:59

[^]

VampirBFW

18.02.2022 - 08:58

-1

Статус: Offline

Главный Сапиосексуал Япа.

Регистрация: 20.02.10
Сообщений: 20984

Цитата (combatunit @ 17.02.2022 - 11:52)

Этой мульке лет 7.
Присылают документ, который бух откроет в 95% случаях - грозное из налоговой, или о возврате денег. С вложением
Там от примитивнейшего скрипта до хитрых программ.
Бух кликает и сидит ждёт. Иногда кликает несколько раз.
В первую очередь эта гадость лезет на сетевые диски.

И чо? Без прав адммина эта херабора пойдет в жопу. И любой более менее грамотный антивирь корпоративный может работать по признакам, например массовое переименование

Размещено через приложение ЯПлакалъ

[^]

Терик

18.02.2022 - 09:06

Статус: Offline

Ярила

Регистрация: 11.02.16
Сообщений: 6050

Цитата (Damirius @ 17.02.2022 - 13:49)

Надо зайти в безопасном режиме и в корневых папках найти exe файл с этим говном и затереть

Сразу видно- гуру

[^]

~~Spiser~~

18.02.2022 - 09:07

Статус: Offline

Контакт третьего рода

Регистрация: 1.04.12
Сообщений: 7844

Цитата (perakula @ 17.02.2022 - 12:54)

вот поэтому если работаешь с базами данных, то БЕКАП делать надо как минимум раз в неделю

Как минимум каждые 15 минут логов, каждый день разностный и раз в неделю полный. Если так сделать то все эти мамины хакеры вызывают смех. Но бля вдруг нОлоговая. Поэтому бекап на флешке, флешка в правом яйце, яйцо правое у ссисадмина, а сисадмин у экономистов яйца подкатывает к Оленьке. Стоп... Флешка же, а нет бекап был 1 и на сервере с 1с......

Это сообщение отредактировал Spiser - 18.02.2022 - 09:08

[^]

flaitsman

18.02.2022 - 09:09

Статус: Offline

foreign agent

Регистрация: 6.11.08
Сообщений: 8388

Цитата (Терик @ 18.02.2022 - 09:06)

Цитата (Damirius @ 17.02.2022 - 13:49)

Надо зайти в безопасном режиме и в корневых папках найти exe файл с этим говном и затереть

Сразу видно- гуру

Тут таких процентов 80, судя по комментариям.

[^]

Mirkana

18.02.2022 - 09:11

Статус: Offline

Ярила

Регистрация: 22.10.21
Сообщений: 1232

Цитата (Primus525 @ 18.02.2022 - 08:57)

Внешнюю 1совскую обработку могли получить по почте и открыть.

С правами внутри базы обычно никто не заморачивается.

Не знаю такого. Разве что эту обработку открыли уже войдя в базу опять же с полными правами. Чтобы запущенная обработка прописалась в конкретную базу - нужно указать ей путь к БД, пользователя, пароль - или я чего-то не знаю?
Шифровальщик переименовывает все файлы там даже запуск не сработает - а на картинке в теме видно открытое окно формы - значит по крайней мере запуск бд срабатывает, либо при запуске платформа лезет по перепрописанным путям куда положили пугалку. тогда надоть для начала посмотреть не перепрописали ли ...\1CEStart\ibases.v8i где путя прописываются. Тут уже танцы с бубном - вариантов может быть масса.
С правами тут вообще весело. только у админа должны быть все права, иначе алес - потом хрен разберешься кто что накрутил, доступ к административным вещам тот же - журналы регистрации, включить историю изменений обязательно на ключевых объектах базы. У меня например пригорало бы если бы все пользователи имели доступ ко всему. Не сталкивались вы когда ведущий расчетчик орет на главного кадровика что она чтото там натворила, приходится целое расследование делать и глав буху на стол предоставвлять всю хронологию - кто, когда, чего наворотил.

[^]

~~zyguli2105~~	18.02.2022 - 09:15 [ показать ] 0
Статус: Offline Ярила Регистрация: 14.06.18 Сообщений: 3050	Красиво пишете
	[^]

Bigdan	18.02.2022 - 09:15 [ показать ] 0
Статус: Offline Весельчак Регистрация: 18.03.15 Сообщений: 150	Придется заплатить.
	[^]

~~Primus525~~

18.02.2022 - 09:16

Статус: Offline

Ярила

Регистрация: 31.01.11
Сообщений: 11806

Цитата (Mirkana @ 18.02.2022 - 09:11)

Цитата (Primus525 @ 18.02.2022 - 08:57)

Юзер сидит в базе в клиенте, запускает обработку, всё.

Это может быть и 1сник, который качнул кривую внешнюю обработку для какого-нибудь регламента в базе.

[^]

Mirkana

18.02.2022 - 09:17

Статус: Offline

Ярила

Регистрация: 22.10.21
Сообщений: 1232

Цитата (Primus525 @ 18.02.2022 - 09:16)

Цитата (Mirkana @ 18.02.2022 - 09:11)

Цитата (Primus525 @ 18.02.2022 - 08:57)

Здесь ключевое - сидит в базе.

тогда поднимаются логи отдельно не через 1с и блокнотиком ковыряются

тот еще трэш

[^]

c3nsor3d

18.02.2022 - 09:24

Статус: Offline

Ярила

Регистрация: 8.11.09
Сообщений: 4919

Цитата (Den4ik58 @ 17.02.2022 - 14:44)

Ну что, мошенники не спят. Сегодня знакомый прислал вот такую занятную вещь.
Я если честно ни разу не видел такого, но суть простая. Взломали 1С, и требуют денег. Пока еще не знаю как произошло, но на моей практике такое первый раз.

А сами бэкапы (ежедневно) не делаете, что ли???... Тогда полный лохобес и уволить нахер такого придурка...-)

[^]

Viaz

18.02.2022 - 09:24

Статус: Offline

Шутник

Регистрация: 28.09.17
Сообщений: 51

Цитата (Creeepy @ 17.02.2022 - 11:46)

Ты не совсем прав. Антивирус здесь не поможет, потому как шифровали обычным 7-zip, а это архиватор бесплатный. Переход по ссылкам не нужен, обычно шифровальщики направляют почтой с вложением вида "акт сверки срочно!!!". Это пользователей пиздить надо (толк будет, проверял). Если база файловая и находилась на том же компе, что и пользователь работал, то денег у фирмы на бэкап систему просто нет (или зажали). Но теперь точно "появятся"

[^]

~~Primus525~~

18.02.2022 - 09:25

Статус: Offline

Ярила

Регистрация: 31.01.11
Сообщений: 11806

Цитата (Mirkana @ 18.02.2022 - 09:17)

Цитата (Primus525 @ 18.02.2022 - 09:16)

Цитата (Mirkana @ 18.02.2022 - 09:11)

Цитата (Primus525 @ 18.02.2022 - 08:57)

Здесь ключевое - сидит в базе.

тогда поднимаются логи отдельно не через 1с и блокнотиком ковыряются

тот еще трэш

Не знаю, зачем нужна вся эта ебля, когда можно просто развернуть базу из бэкапа :)

[^]

Ventil98

18.02.2022 - 09:25

Статус: Offline

Ярила

Регистрация: 15.10.14
Сообщений: 3739

Цитата (combatunit @ 17.02.2022 - 11:52)

Цитата (Den4ik58 @ 17.02.2022 - 15:48)

Цитата (Creeepy @ 17.02.2022 - 11:46)

Ловушка для админа-рас3.14здяя.
Значит антивирусная программа в жопе. А если еще и не бекапил ничего, то тогда с него шкуру сдирать надо начинать.

Сервер 1C на Linux, нет там ни каких антивирусов. Порты закрыты, доступ через SSH по сертификату. Как так получилось непонятно, но очень интересно

Ага-ага, почтовая ссылка зайдет на линуксовый сервер с паролем рута и забекапит всю базу постгреса? Я понимаю, если комп у буха зашифруется, бывало такое, но по ссх на сервер - это что-то из области фантастики.

Бородатая байка:

Цитата

Начальник - секретарю:
- Катенька, дорогая, перепиши месячную отчетность нашим партнерам, они сейчас к тебе подойдут.
- Добрый день, это вам переписать oтчетность?
- Добрый день, да, будьте так любезны, вот чистая дискета, можно на нее.
- Да, конечно.
Вставляет в дисковод. И....
# mkfs -t vfat -c /dev/fd0h1440
# mount -t vfat -o iocharset=koi8-r,codepage=866 /dev/fd0 /mnt/floppy
# find / -noleaf -type f -name Otchet_april. [a-zA-Z] -exec cp '{ }'; /mnt/floppy \;
# ls -la /mnt/floppy/Otchet_april. [a-z][A-Z] && sync && sleep 3
- Возьмите пожалуйста!
Партнеры.
- Ни фига себе!!!
- Что такое?!... Я опять отмонтировать забыла?!

[^]

Mirkana

18.02.2022 - 09:37

Статус: Offline

Ярила

Регистрация: 22.10.21
Сообщений: 1232

Цитата (Primus525 @ 18.02.2022 - 09:25)

Не знаю, зачем нужна вся эта ебля, когда можно просто развернуть базу из бэкапа :)

Конечно можно. Но " .....и опыт сын ошибок трудных"
Тут же самый угар - приковырнуть, раз....нить базу в хлам, попивая джинн

[^]

ЛешкинКот

18.02.2022 - 09:39

Статус: Offline

Юморист

Регистрация: 8.09.14
Сообщений: 561

Цитата (Ares19 @ 17.02.2022 - 12:31)

Цитата (perakula @ 17.02.2022 - 11:54)

вот поэтому если работаешь с базами данных, то БЕКАП делать надо как минимум раз в неделю

неее бэк каждый вечер... только так.. и хранить в 2 местах

Вот как-то так:
Все сервера на виртуалках
MS SQL делает бэкапы баз 1С на Synology (на ней включена "корзина" Т.е. данные не удаляются. Вообще)
Windows Сервера (SQL, RDP, 1C, AD) делают бэкапы самих себя штатным средством
Hyper-V делает репликацию виртуалок на другую железяку и бэкап на Synology
Synology делает бэкап на другой Synology в другом городе

[^]

minirulet	18.02.2022 - 09:39 [ показать ] -2
Статус: Offline Кошачья сила! Регистрация: 30.03.16 Сообщений: 5323	Вот вам и реальная проблема от крипты. И хуй ты узнаешь кому принадлежит этот электронный кошелек. Можно безнаказанно творить любую нелегальную дичь.
	[^]

navuhadon

18.02.2022 - 09:46

Статус: Offline

Пехотинец Путина

Регистрация: 6.02.19
Сообщений: 3559

Цитата (flaitsman @ 18.02.2022 - 09:09)

Цитата (Терик @ 18.02.2022 - 09:06)

Цитата (Damirius @ 17.02.2022 - 13:49)

Надо зайти в безопасном режиме и в корневых папках найти exe файл с этим говном и затереть

Сразу видно- гуру

Тут таких процентов 80, судя по комментариям.

А как? Изменить в биосе дату на раньше? Очистить кэш? Пройтись Др. Вебом? Вернуть дату? А, не, не так.

[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 61254
0 Пользователей: