По мотивам сбоя СДЭК

Это потому что MS SQL держит их монопольно открытыми, и чтобы шифровальщику до них добраться, ему надо тормознуть сервис.

У них там настолько неважен результат, что они этого не знают? И бэкап журналов транзакций не делается? Ну значит их все устраивает.

Мало того, на сервере бэкапов вообще не должно быть шар, а в идеале - не должно быть работающей самбы. Доступ строго по ssh, а процесс сбора бэкапов инициирует сам сервер.

Собственно так и должно быть. Сервер БД (виндовый, линуксовый, да хоть какой) сам выгружает бэкап и кладет у себя в специальную скрытую шару с правами только кому надо. А уже бэкапный сервер на линуксе оттуда забирает по мере готовности и складывает у себя.

никаких, блеать ssh!
нахуя тебе удалёнка на сервер бэкапов?
только физическая консоль.
тебе там делать нечего если система работает и рапортует об успешном завершении очередного бэкапа.

дада! даже если к себе на ssh ты ходишь не по паролю, а с ключами,
всё равно существует шанс, что ключи спиздят с твоего ноутбука, который ты по пьяни проебал в разливайке.

самое лоховство, это на флешку записывать ключи или пароли - выронил флекшку и ппц. - молись, чтобы её не подобрал школьник, который захочет похулиганить на серверах "ООО КриптонитЗащитаАЙТИ"

у тебя то конечно есть альтернативное мнение, но это на столько ценные знания, что ты с нами не поделишься, да?

мне вообще не понятно как вирусы попадают на сервера с БД или DC

от на сколько нужно быть упоротым, чтобы допустить саму вероятность запуска хоть чего-то на машинке, единственная роль которой, это обрабатывать sql-запросы?

ковид закончился, а это значит, что не осталось никаких оправданий для существования удалёнки даже на некритичных серверах - только консоль!

Героический опус о восстановлении SQL сервера, не зашифрованного шифровальщиком.
Это прямо шедевр.

Основная проблема резервного копирования - вы или делаете все максимально надежно, но управление всем добром превращается в ад, или на что то закрываете глаза, но это может быть использовано злодеями.

Классика - разделить резервное копирование на 3 части, file daemon (то, что сохраняет данные), storage daemon (то, куда сохраняются копии), director (то, что управляет file daemon и storage daemon).
В этой схеме file daemon ничего не знает о storage daemon, соответственно хоть что делай с операционными системами, доступ к месту, куда будут сохраняться резервные копии.
И если админ заходит на director с не скомпрометированного компьютера (например прямо с консоли или с выделенного компьютера) - проблем нет.

А теперь представим, что админ ленится, и заходит на director со своего компьютера.
Все, троян имеет доступ к его director и sd (через keyboard logger или еще как).
Дальше злодей просто меняет backup задание, отключая резервирование БД.
А через месяц шифрует БД.
У вас есть backup ? Да, месячной давности. У СДЭК посылка за 2 недели доставляется, бесполезный backup.

ОК, сценарий 2, у злодея нет доступа к backup, но есть доступ к sql серверу.
Переносит БД на другой диск, и он уже не попадает в backup.
И через месяц шифрует БД.
Тот же результат.

Резервное копирование можно сделать, но нужная адская культура и внимательность.
А современное поколение админов... Забивают.. х-ня, 100 раз так делал...

Виртуальные машины - нет консоли как класс.
keelogger снимает все что набрано на клавиатуре админа, и поехали.

Предполагаю, что сдэк сейчас банально договаривается о сумме перевода и соответственно собирает крипту для оплаты.

Зачем думать - открой сообщение со скриншотами от хакеров ) Windows + VmwareVsphere + Veeam под виндой )
И рабочий стол админа под виндой с текстовичком с паролями )

Это сообщение отредактировал Swenum - 29.05.2024 - 22:40

А колись в каком линукс софте автомобильную деталь в 3Д нарисуешь с помощью одновременной работы 150-ти инженеров-проэктантов. Ватман, логарифмическую линейку и карандаш плотности H2 не предлагать

VM - виртуальная машина, внутри может быть и сервер под windows или freebsd, но сам гипервизор под Linux. Ну держат гипервизор под Windows мало кто, самые популярные гипервизоры - Vmware Esxi и Proxmox.
Главная ошибка ходить по пользовательским компам с правами доменного админа, нужно использовать отдельную учётку. И рабочий комп тоже нечего заводить в домен, как и veeam сервер с backup и vsphere vcenter.

Вот ты гад!
Всю малину сразу испортил!
У них и бэкап-серверы в доменах, наверное))
На шару бэкапятся)

Правильно. Но в случае с датабазами не совсем. От шифровальщика ДБ нет охраны на уровне бэкап систем. Единственное решение - считывать независимым узлом дамп датабазы и его бэкапить. В основном все шифровальчики на дамп независимому узлу до последнего момента "Але" отдают незашифрованые дата. Локальный дамп шифрует падла

А это здесь к чему? Невижу никакой угрозы если пара-тройка бэкап серверов на случай быстрого развертывания будут в AD. Архивные тоже встречал в AD. Но там были танцы с бубном около роутера.

А для таких, как ты.
Если AD и Лес будут скомпрометированы на уровне энтерпрайз админа, то смысл от них?

Научить админа на свой комп логиниться под простой доменовой учеткой проблема? Если кейлогеров нету то все манипуляции с АД проводятся с виртуалки "манагер" которая хз где спрятана и подключена к независимой сети. Для параноиков подключение можно реализовать системой USB2serial. Но это для тех кто свое время не ценит.

Посылок по СДЭКу постоянно идёт множество.
Сбоя не заметил.

Надеюсь у тебя монитор оптическим кабелем к системнику подключен. Потому как технологии 2005-го мохнатого года позволили прочитать всю инфу с растояния 200 метров из обычного VGA кабеля. Ага. fullHD


И о ключах поржал. Много видать ключей хакер сей заделал. Особенно шифрованых триплдесом ему и подобным

вирусы-шифровальщики - как то ПОПАДАЮТ в инфраструктуру.

Эта проблема решилась раз и на всегда выключением переферийных портов, что бы юзеры не пихали в компы свои флешки, телефоны, и прочее.

Тотальный контроль выхода в сеть. Тем кому интернет для работы не нужен - у них его нет и не будет.

Запрет и глушилки на точки доступа на телефонах коллег.

Запрет на пронос и использование своих ноутбуков, кроме тех, кому это необходимо.

Полный запрет на внешнюю рассылку и прием почты. Проверка с ручным приводом, разрешено только тем кому действительно нужно и можно.
Надо написать на условный Gmail . com - делается это через ИБшников.

Полный запрет на прием вложений с ручной их проверкой.

Нормальная, квалифицированная команда информационной безопасности. Отделенная от админов. А не штат админов, они же сетевеки, они же бзопасники, они же - администраторы домена, они же и сертификаты сами себе выпускают и подписывают.

Жить стало надежнее и спокойнее.

Одна секретаршта-Людочка с интернетом - может положить всю корпорацию.

PS: IT-компания, штатом всего 200+ человек. Но и да, и у нас бывали факапы. Видел лично, как в HPilo вводили мой логин, ошиблись с паролем. Вводят рута, ошиблись с паролем, вводят логин другого пользователя, который не сменил пароль, хотя политика это предписывала. Но это была внутренняя утечка.

Сдэку соболезную.

Это сообщение отредактировал RedMoon123 - 30.05.2024 - 00:09

biohumanoid

Это схуяль? Это какой у тебя гипервизор, что у тебя нет консоли на виртуалки?

Запрет консоли.
Надо - разрешили, поработал, отобрали консоль обратно.
на VMware прекрасно выключается консоль.

Алло, гараж, кто на серваке что-то рисует? Для этого рабочие станции есть, на них стоит то ПО, которое должно стоять для работы. И по уму домашняя папочка пользователя смаплена на сетевую шару, чтобы сохранив свой супер-пупер чертеж пользователь ни о чем не беспокоился, а уже с сетевой шары сервер бэкапов делает бэкапы (у меня еще и снепшотится локально, чтобы если пользователь чего поломал, откатить быстро).

Сервер бэкапов у меня физически по другой сети шуршит, туда из пользовательской не попадешь ни по ssh ни по RDP, никак. И вот файлопомойка, сервер бэкапов сервер БД - линукс и на них подняты и доступны только те службы, которые необходимы. Ничего лишнего. Причем сервер БД тоже в пользовательскую сетку тоже может не торчать - только фронтенд.

При таком раскладе шифровальщик не имеет возможности дотянуться до бэкапов и бэкэнда, а у злоумышленника будут сложности - прямого доступа к бэку из пользовательской сети нет.

Вот и я удивился, у меня не вмварь, я PVE-бояринъ, но таки тоже когда надо - консоль к виртуалкам есть у меня.