Вот такая петрушка

Беда.
Не, ну можно, как вариант 1с-нику криптоанализ провести, термально-ректально,
да и сервак в облаке очень рискованно.
Когда надо бухгалтерию от маски-шоу спрятать проще помещение неподалёку снять под сервак.

Это сообщение отредактировал Котовоз - 17.02.2022 - 12:21

Ну я немного про другие дырки.
Всякие там переполнения буферов инжекты и прочее.
Типа этих

ПыСы: на серваке поди еще и установка хотфиксов отключена

Это сообщение отредактировал Skrut - 17.02.2022 - 12:23

А ЧТО получилось? Кто-то вообще смотрел? "Сервер" на linux... что под этим понимается? Файловая база+rdp или все-таки postgresql? Если второе, то были проебаны пароли к базе, были проебаны доступы по ssh и т.д. и т.п. и это еще и скорее всего полностью рукотворное, т.е. не "вирусы", а кто-то рУками это делал упорно. Про "антивирус" на линуксах смысла не имеет говорить, ибо запуск "вируса" на линуксах это опять-таки нечно рукотворное, с подтверждением доступа, знанием паролей и т.д. Для начала надо понять - что с СУБД и что там с базой внутри, а то может и норм все...

Сомневаюсь, что эта фирма имеет такое значение для таких затрат.
В большинстве случаев во всём виновата обычная лень. То пароль каждый раз вводи, то для разных задач пользователей переключай, то для копирования одного файла его надо последовательно из одного в другое место под разными пользователями 5 раз кидать
Вот и ставят 777. Не говоря про расшаривание нужных папок, чтобы быстрее было.
Так что навряд ли имел место сложный взлом. Или, в лучших традициях Митника, увели логин\пароль, или кому-то было, как обычно, лень

Судя по всему кто то залез в 1с-ку ( вариант в postgre ), выгрузил .dt-шку ( вариант - сдампил базу ) запаковал в запароленный архив. Кинул там же.
Затем убил конфигурацию 1с и нарисовал свою, которая отображает это вот сообщение.

Не думаю, что дело в 777
Тут именно что - залезли на сервак с рутовыми правами.
ТС спращивает КАК ?

А я соответственно у него спрашиваю "а как туда вобще попадаете, кроме SSH который торчит 'в мир' ? "

Каких "затрат" ?
Обнаружить торчащий SSH, залезть на securitylab, почитать про свежие дырки, попробовать пару эксплойтов ?
Это всё за вечер делается.

Это сообщение отредактировал Skrut - 17.02.2022 - 12:36

неее бэк каждый вечер... только так.. и хранить в 2 местах

Когда есть бекап, то, конечно, легко. Восстановил базу, а потом вирус этот нашел, лучше вручную и удалил. Я так и делал. Два раза ломали. Оба раза так и поступал. А если нет бекапа, то пипец-) Даже заплатить денег, не факт, что откроют.

Лично наблюдал.
Программер сидит на винде, все папки с линуксового сервака, с которыми он работает, подключены в качестве сетевых дисков. Естественно, с полными правами доступа для него. Потому что так быстрее и удобнее.
Антивиря нет - онжепрограммист!
Я аккуратно поинтересовался о безопасности, на что получил традиционный ответ: "Да кому это надо ломать?"

Ну вот стоит этому пареньку было поймать шифровальщика
К счастью, не на моей работе такое чудо.


Пример веб программером, который на смотрящем в мир серваке просил поставить 777, я выше приводил.

Так что копать в первую очередь надо по методике Оккама, начиная с самых простых вариантов. Напрмер, что "взлом" происходил на одной из рабочих машин, а не на сервере.
Кстати, конфликтов там недавно не с кем не было из сотрудников? Никто не увольнялся, особенно тихий и незаметный?

Тут еще такой момент: на продакшн снрверах админы шибко не любят апгрйд системы делать, ибо софт, что на них крутится работает не на стандартной системе, а чуть ли не с ядром перекомпилиованным и оптимизированным под этот софт.

А залезли может и не с рутовыми правами. Подняли привилегии уже локально.
По своей практике: тот же Dirty Cow 2016го года встречается часто.

Но, соглашусь. Входных данных очень мало. Все таки мог и вебсервер крутится, еще что...

Это сообщение отредактировал kazanec - 17.02.2022 - 12:52

Сейчас я угадаю, база торчала наружу и были разрешены внешние обработки, и естественно простой пароль у привелегированного пользователя базы?

Это сообщение отредактировал makstex - 17.02.2022 - 12:57

Шифровальщик бы просто закриптовал базу и выложил на рабочий стол "ПРОЧТИ_МЕНЯ.TXT"

А тут базу сдампили, запаковали 7зипом и покоцали конфигурашку 1с
Это явно делалось , как тут выше сказали "рУками"

У меня золотое правило, кроме бэкапа на удаленный ПК, утром в обед и вечером на съёмный носитель

Размещено через приложение ЯПлакалъ

Судя по имени каталога - это внешний диск.

Странный выбор для хакера, он заранее не мог знать, что этот диск воткнут.
Значит сломали именно ssh.

Совет 1сникам - используйте Effector Saver.
Отличная штука, даже купить можно, недорогая.



Это сообщение отредактировал spiderv - 17.02.2022 - 13:03

ну это пизда. Тут только платить или со старых бэкапов. Причем шифруется это все дело не в одну секунду и по работе компа можно было понять, что то что то ни так, но всем как обычно пох.

1снику в жопку криптоанализатор засуньте и пусть он просто в модуле управляемого приложения уберет свой говнокод.

Не обязательно, можно через внешние обработки это сделать, если они разрешены в базе и у прив.пользователя простой пароль.
С другой стороны, первое, что надо делать при разворачивании PostreSQL, это включать выгрузку дампов каждую ночь, а забирать их уже с помощью другой машинки, к которой доступа нет ниоткуда, либо только на чтение.

Нихуа !
Это просто примонтированный второй (не системный) диск, на котором и лежат базы.
У меня так же сделано.
Убунта монтирует не в /mnt а в /media

Можно.
Но сохранили в папке на Линукс машине, которая появляется сама, если воткнуть диск или флешку.
Значит взломщик сидел на Линукс машине.

Не обязательно внешний.
Во-первых, внешние диски несколько иначе называются, когда там отображаются. Обычно по метке тома
Во-вторых, куда были права, туда и писали..

Было у нас такое года три назад. Только еще номер телефона был написан.
Архивы сохранялись раз в неделю. Директор пару часов репу почесал стал выбирать между восстанавливать по архиву почти недельной давности и отдать мошеннику 20 тысяч рублей. Первое - реальный кошмар, второе - ему разок в кафе не посидеть. Выбрал второе. Мошенник ему за это рассказал как взломал, что делать чтобы не повторилось. Вроде директор даже доволен остался.

Тут позвонили пострадавшие, говорят базу зашифровали.
-Сколько просят?
-6000.
-Блин, чет совсем охамели....
Начинаю склонять к тому, что либо искать резервные копии и вбивать все вручную, либо платить.
-Но 6000 руб, говорит, наверное проще заплатить.
-а, рублей? Конечно платить, я думал в долларах...

Как в fstab назовёшь , так и отображаются

А съёмные же конечно

Бэкапы надо хранить в незашифрованном виде.

Давай я тебе 7z-архив с голыми бабами запароленный пришлю. Взломаешь - твои будут.

Это сообщение отредактировал Verevkin - 17.02.2022 - 13:26