Вот такая петрушка

Ахтунг ! Шлюхоботы атакуют !

Это сообщение отредактировал Skrut - 18.02.2022 - 16:55

Не было там рдп.
Пока вариант только один.
Залили внешнюю обработку, с одной из рабочих станций.
Далее сгенерили свой ключ для ссх. В authorized_keys был найден второй ключ. Судя по дате его модификации, это было за три дня до всего. Пароли для постгре и кластера дергаются за 2 минуты.
Далее текущая база была слита, зашифрована 7z, и отправлена в созданную папку, ту которая на скрине. Далее вместо базы залили конфу, котрая и показывает что все, приехали.
Пробовал testdisk-ом прогнать, хер там плавал, все затерто по кластерно.
Кароче пока такие дела.

ЗЫ, что интересно, rphost 1с-овский не под рутом был запушен. Каким образом был шелл получен хз

Это сообщение отредактировал Den4ik58 - 18.02.2022 - 17:33

не навижу постгре,
ну если там рейд то и без тестдиска ясно что практически не восстановить

Это сообщение отредактировал skripun - 18.02.2022 - 17:34

а от какого пользователя архив то, рут ?

по-любому это местный работник сотворил

Блин, ну ты хоть /var/log/secure (auth.log) смотрел? В .bash_history посмотри еще, может на мысли натолкнет.

Это сообщение отредактировал flaitsman - 18.02.2022 - 18:04

Ясен хрен смотрел. пусто!

Да все по рутом.
На счет местного админа, врят ли. Там немного другой уровень.
Но косяк как ни крути за ним.

Значит не через него

Любой бэкаппер решает этот вопрос
Бекап по дням, неделям, месяцам и год
Всего делов бухам за день перебить первичку и банк
И да, rdp и правильно настроенные права и правила решают много проблем

Размещено через приложение ЯПлакалъ

Такой грамотный, что бэкапа может и не быть...

Публичка последнее, что будет резать здоровый администратор почты, там половина контрагентов сидит и даже раньше налоговая ящики имела. К тому же, вредоноска идет как правило с доменов однодневок с подменой имени отправителя. С этим можно еще бороться средствами postfix, отфильтровывая совсем индусов.
Мошенники быстро научились обходить блокировку исполняемых вложений, отсылая в html-письме ссылку на js, дальше уже чистый дарвинизм.
Это бесконечная война, в которой всегда будут потерпевшие. Ни один антивирус не спасет пользователя, я всерьез считаю порнуху безопаснее электронной почты. На первом месте "скачать детские книжки бесплатно".

Судя по каталогу /media директор собирается сожрать внешний жесткий диск с базой раньше, чем его дверь выбьет ОБЭП

смысле я правильно понял, что через внешнюю обработку 1с получили рут на сервере?
вот это дыра =)

Как говорят специалисты по кибер безопасности в этом случае по их статистике шансы примерно такие - 33% что пароль не пришлют , 33 % что даже с паролем не расшифруется и 33% что пришлют и всё расшифруется

И как давно Вы, сударь, видели базу 1С, которой не нужен доступ в сеть Интернет? Электронный документооборот через дискеты?

плять, тут львиная часть в шары что ли долбится? exe-файлы, письмо, база на компьютере бухгалтера и прочий бред. черным же по-английски видно по пути размещения базы и зашифрованного файла, что база - не файловая, крутится на sql и работают с ней явно тонким клиентом через www на чем-то линухо-подобном. и таки да, на робота не похоже - тут явно прицельно "работал" человек.

на выход пользователей из компании из периметра компании, на вход пожалуйста, но не исполняемые файлы.
я не моральный урод)
да и какого хуя использовать бесплатное мыло когда есть конторское, да и тимку на наль днс посадил, эмми тоже. ибо нехуй.

Это сообщение отредактировал skripun - 19.02.2022 - 00:30

это всем совет кто не юзает тимвьювер и амми админ, в днс на ноль посадите их, это от части избавит вас от проблемы

Если грамотный хакер то он и бекап зашифровал, или удалил.

если использовать нормальный бекапилки хуй кто до архивов дотянется.
если пользоваться ублюдскими скриптами то да, велкам, типичный пример вим клиент сервер надо постараться завалить эту связку.

Как говорится "сцуко до слез"...
По регламенту фулбэекап раз в неделю, хранение 3 недели. инкриментальный каждую ночь, хранение 3 недели.

Время идет, объемы инфы растут, а размеры схд под бекапы нет. Урезали политики до двух недель, а потом вообще до недели. А заявки стали чаще сыпаться
- ой у меня отчет пропал. восстановите.
- Когда заметили, когда изменения были
- да заметила еще на той неделе, изменения не помню
- Аминь, попрощайтесь с вашим отчетом. (Конечно не так, а все вежливо объяснял)
- что это такое? я буду жаловаться!!!!
- Пожалуйста, я буду только рад если вы официально пожалуетесь моему руководству. Убедительная просьба поставить меня в копию.

Да сколько можно уже.... Я на этих мошенников слишком часто натыкаться стала. Как же хочется сидеть в сети в полной безопасности. Или покупать номер и сразу понимать, что никакие подозрительные номера на него не позвонят!

Не по теме, но я тебя сейчас вобще рыдать заставлю:

- У меня почта тормозит
- Ну конечно, у вас аутлук, 30 тысяч писем, объём базы - 19 гиг
- Ты плохой компьютерщик. Вот до тебя был - при нём всё работало
- Когда ?
- Ну.. два года назад - он как нам всё это поставил - всё быстро работало

Отправь им на почту такой же вирус, но денег побольше проси

с нас содрали 200к рублей, инетмагаз не работал 3 суток, дыра через RDP админа, расшареные папки логин user, пароль цифра 1.