По мотивам сбоя СДЭК


Страницы: (9) 1 [2] 3 4 ... Последняя »	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

Гинеколог

28.05.2024 - 15:49

-1

Статус: Offline

Хохмач

Регистрация: 21.04.14
Сообщений: 780

Цитата (1vova1 @ 28.05.2024 - 15:06)

Прочитал про падение серверов СДЭК и прямо до мелочей вспомнил, как почти 7 лет назад принимал участие в устранении последствий вируса-шифровальщика.

7 лет назад я работал в крупной компании, и так как за два года до события я работал там же администратором баз данных, то меня тоже пригласили помогать в процессе поднятия серверов БД.

Всем, кто смеётся над рукожопостью IT-шников и отсутствию бэкапов, хотел бы рассказать как это выглядит в реале.

Если речь про шифровальщики, то он шифрует все компьютеры подряд: рабочие станции пользователей, контроллеры доменов, серверы резервного копирования, рядовые серверы, в общем всё, до чего сможет дотянуться по сети.

Прежде чем что-либо восстанавливать нужно найти выживший контроллер домена, если такого нет и нет бэкапа, то придётся строить инфраструктуру с нуля. Контроллер домена - это такой главный сервер в инфраструктуре, в котором содержится база данных всех пользователей, компьютеров, серверов и т.д. В нашем случае нам повезло и у нас такие нашлись. Параллельно начали поднимать серверы резервного копирования, по сути нужно взять и установить всё с нуля и подцепить к нему базу бэкапов.

Ну и после поднятия началась планомерная работа по восстановлению наиболее критичных систем.

Пока сисадмины возились с контроллерами я выработал схему восстановления серверов БД не прибегая к бэкапам. Повезло в том, что вирус не тронул файлы БД, а шифровал только офисные файлы, текстовые и системные каталоги Windows.

Процесс выглядел вот таким образом:
1. С диска c: копируются все файлы системных БД СУБД MSSQL(master, model, msdb и mssqlsystemresource) хоть на usb-флешку, т.к. они имеют небольшой размер. Если рабочие базы лежат на системном диске, то и их тоже. Кроме того можно посмотреть каталог C:\Program Files\Microsoft SQL Server\{version}\Setup Bootstrap\Update Cache, чтобы понимать какие обновления были установлены ранее.
2. Форматируется системный раздел и заново ставится ОС.
3. Заводим сервер в домен.
4. Устанавливаем SQL Server и все обновления, которые были на сервере до этого.
5. Останавливаем службы SQL и заменяем системные базы старыми(новенькие можно куда-нибудь скопировать на всякий случай, вдруг что-то пойдёт не так).
6. Запускаем SQL Server и проверяем получилось или нет.

В процессе установки ОС у подключенных дисков могут стать несколько иными буквы дисков, но в принципе при подключении старой базы master и в логах SQL Server можно увидеть нужные пути до баз и просто переименовать буквы дисков.

С кластерами всё работает точно так же, просто процесс установки дольше, т.к. установить SQL и обновления нужно на все ноды

Вот такой простой подход позволил восстановить все серверы БД SQL Server без потерь в данных.

Вдруг кому пригодится в будущем.

Можно помедленнее - я записываю! ©

[^]

nbvcxz

28.05.2024 - 15:53

Статус: Offline

Ярила

Регистрация: 13.03.19
Сообщений: 2986

Цитата (Aberrant @ 28.05.2024 - 15:44)

Цитата (Blatero @ 28.05.2024 - 15:29)

да у них и шифровальщик ламерский какой-то..
системные и текстовые файлы зашифровал... а субд не заметил? молдавский вирус?

нуу, если всё по науке, а не как у этого школьника - ТС`а,
то сервер БД должен быть в DMZ, за собственным маршрутизатором,
за пределы DMZ должен торчать только 3306,
а внутри DMZ консоль админа и выход в DMZ бэкап-серверов
(никаких, блеать доменов, шар, ftp и ssh с ебучими rdp и уж тем более никаких форточек "сервер 2020 xp-про-корпорейшен-васян-эдишн 8 в 1")

тогда шифровальщик может добраться до БД только внедрив свой код непосредственно в логику самой базы,
но при таком раскладе из SQL пробраться в систему, чтобы потом добраться до бэкапов мало вероятно, даже скорее фантастика.

но кто ж так делает? все же на удалёнке, до всех серверов ssh прокинуты и шары, чтобы мышкой файлы шевелить

да и дорого это.
опять же - однокнопочным админом тут не обойтись,
нужен кто-то вменяемый с вменяемой зарплатой

Ну если чувак получает условно 70к-100к то то что описал ТС, для него должен быть высший пилотаж. Бекап настроил на этом же сервере на отдельный диск и под отдельной учеткой со сложным паролем и запретил другим пользователям туда иметь доступ уже фантастика, если у шифровальщика будут права не самые высокие.
Я встречал случай когда админ выкинул рдп во вне, а у юзера с правом на рдп был пароль что-то типа 1234QWERTY, ну и зашифровали все что было ему доступно, хорошо он бекап делал как описал, ЗП у него была около 70к в 2019.

[^]

Aberrant

28.05.2024 - 15:59

Статус: Offline

На фоксе! Всегда!

Регистрация: 3.10.20
Сообщений: 3538

Цитата (vaisman @ 28.05.2024 - 15:48)

Aberrant, ну у меня, например, АД аутентификация только на пользовательской стороне, ДНС-ы хуенэсы и это вот все. Вся инфраструктурная часть в отдельном сетевом сегменте, без имен, без АД и этого всего. Мне как-то странно было узнать, что не все так делают. причем даже такие не все, как СДЭК. У меня пользователь даже с правами админа к шарам на сервере бэкапов не попадет.

ну ты то красавчик,
хотя у меня сейчас глаз задёргался от "к шарам на сервере бэкапов"

шары там зачем?

инициатором создания бэкапов должен быть только сам сервер бэкапов,
он должен только выкачивать инкрементальные бэкапы,
затем поверять целостность БД и раз в N-дней/часов делать на отдельный raid/сервер дифференциальные бэкапы

т.е. "он" даже сервером быть не должен,
его роль, это "клиент"
и если этому клиенту (серверу бэкапов) по какой-то причине не удалось создать инкремент или целостность нарушена, то по собственному каналу (дёргает USB-мопед) он обязан тут же зажечь кровавый прожектор в личку админу,
ну а если всё ОК, то обязательно должен опять же разбудить мопед и отправить админу смайлик.

если смайлики не приходят вовремя, то у админа должен случиться поджёг пердака!

[^]

CrazyCat911	28.05.2024 - 16:00 [ показать ] -1
Статус: Offline Ярила Регистрация: 6.04.18 Сообщений: 1293	виндоус маст дай! а СУБД - только оракел!
	[^]

brand233	28.05.2024 - 16:00 [ показать ] 11
Статус: Offline наблюдатель от Бога Регистрация: 16.03.22 Сообщений: 300	В том то и проблема что нормальных админов или сразу после настройки системы на хер посылают или даже перед настройкой, когда узнают сколько он хочет за работу. А обычный эникейшик пытается выполнить поставленную задачу как может :) Ну соответственно и результат мы видим на примере СДЭКА Меня вот тоже попросили с одной бюджетной организации, когда я практически настроил систему из 8 серверов, осталось только пароли доступа раздать. Но я практически уверен что никто из оставшихся инженеров не потрудился сделать даже образа дисков ибо они в компьютерах ну просто не очень от слова совсем. Интересно как они будут выкручиваться, когда рейд пойдет по пизде, а это пару лет осталось... У них ни бэкапов ни образов... (хотя в серваке даже в биос встроена прога для создания образа дисков, но вряд ли кто-то там способен даже в биос зайти). Максимум что они делают при сбоях - это перегрузить все машины (пока помогает, но надолго ли?) И да, я сознательно назвал эникейшиков - инженерами, ибо они там обслуживают пожарную сигнализацию, заодно на них и серверную повесили. Ну а че, тоже же оборудование типа. Это сообщение отредактировал brand233 - 28.05.2024 - 16:07
	[^]

РАд	28.05.2024 - 16:06 [ показать ] 3
Статус: Offline Балагур Регистрация: 1.06.17 Сообщений: 928	А можно помедленнее?
	[^]

Aberrant

28.05.2024 - 16:12

Статус: Offline

На фоксе! Всегда!

Регистрация: 3.10.20
Сообщений: 3538

Цитата (brand233 @ 28.05.2024 - 16:00)

В том то и проблема что нормальных админов или сразу после настройки системы на хер посылают или даже перед настройкой, когда узнают сколько он хочет за работу. А обычный эникейшик пытается выполнить поставленную задачу как может :) Ну соответсвенно и результат мы видим на примере СДЭКА

я оцифровывал процессы в логистике и там "не всё так однозначно"

приходится жертвовать многими принципами, чтобы угодить и клиентам,
и сотрудникам, и руководству.

слишком много мест, где тонко,
а если пытались сэкономить или оставили "на потом",
то когда порвётся, это лишь вопрос времени

меня как-то пытались убедить, что заявки с клиентского портала 1С должен каждые N-часов дёргать по FTP - всё потому, что програмер 1С по другому не умел

пришлось изучать вопрос и писать за него кусок, который работал промежуточным web-сервером (радом с 1С) и получал риалтайм заявки по SOAP и в обратную сторону так же отправлял изменения статусов, чтобы клиенты на сайте видели сразу всё, что происходит с заявкой.

сложно, но надёжно и хоть как-то вписывается в специфику логистики, когда заявка может быть отправлена за минуту до закрытия окна, а следующее только через 12 часов - чтобы машины пустыми не ходили,
но и логисты волосы на жопе не драли когда за час до отправления на них сваливается 100500 заявок "на сегодня"

[^]

vaisman

28.05.2024 - 16:12

Статус: Offline

Ярила

Регистрация: 10.03.14
Сообщений: 28664

Aberrant

Цитата

ну ты то красавчик,
хотя у меня сейчас глаз задёргался от "к шарам на сервере бэкапов" lol.gif

шары там зачем?

А я сейчас репу почесал - у меня там и правда нет шар, инициирует и правда сервак бэкапов. Но у некоторых бывает всякое легаси, знаешь ли :)

Давно это все настраивал, забыл уже чо как делал. Ток смайлики прилетают.

Это сообщение отредактировал vaisman - 28.05.2024 - 16:14

[^]

ustasx	28.05.2024 - 16:12 [ показать ] 1
Статус: Offline Сказочный долбоёб Регистрация: 21.06.09 Сообщений: 2749	Уже интересно про диск C: Дальше ещё интереснее, бэкапы делаются на автомате. У нас, раз в неделю. Иначе, в независимости от рук админов и системы - может быть факап. Защита двойная - поскольку госконтора, то лицензионный AVP на рабочих машинах. На сервере BitDefender, параноидально залоченый, пиратский, да и хрен с ним. Сеть около 150-180 компов.. З.Ы. Про точное количество компов я не в курсе потому, что там древнего железа много списано. Типа пеньков с первого по третий. Это сообщение отредактировал ustasx - 28.05.2024 - 16:18
	[^]

DmitrievDM

28.05.2024 - 16:33

Статус: Offline

Балагур

Регистрация: 15.11.16
Сообщений: 805

Цитата (Andronik1 @ 28.05.2024 - 15:12)

ТС, вот мне строителя не понятны твои монологи. Давай я тебе сейчас задвину про технологии строительства и оформление земли под котеджных посёлок в МО!

Давай! Мне, как программисту, который строит себе дачу сам, жутко интересно.

[^]

vaisman

28.05.2024 - 16:47

Статус: Offline

Ярила

Регистрация: 10.03.14
Сообщений: 28664

Цитата (Andronik1 @ 28.05.2024 - 15:12)

Я тоже рядом посижу, послушаю.

[^]

DmitrievDM

28.05.2024 - 16:50

Статус: Offline

Балагур

Регистрация: 15.11.16
Сообщений: 805

Цитата (CrazyCat911 @ 28.05.2024 - 16:00)

виндоус маст дай!

а СУБД - только оракел!

Оракел не продаётся в РФ
Все на посгре переходют

[^]

JJBaltika	28.05.2024 - 16:50 [ показать ] 3
Статус: Offline Цвет подписи в цвет предупреждений) Регистрация: 8.11.08 Сообщений: 14302	тема изначально создана для фармы каментов ваш кэп.
	[^]

adammazer2	28.05.2024 - 16:50 [ показать ] 1
Статус: Offline Ярила Регистрация: 18.06.21 Сообщений: 3114	Права доступа решают. Но нет, нам же так неудобно, да? Пусть админы будут все и везде. Размещено через приложение ЯПлакалъ
	[^]

Blatero

28.05.2024 - 16:51

Статус: Offline

Blatero

Регистрация: 9.05.13
Сообщений: 5002

Цитата (1vova1 @ 28.05.2024 - 15:31)

Цитата (Blatero @ 28.05.2024 - 15:27)

эта информация
1. специфическая.
2. очевидная для любого мало-мальского специалиста.
в случае с далекими от темы людьми она бесполезна.
в случае со связанными с темой людьми я хз что за секрет полишинеля ты тут открыл.. сбэкапить вручную базы на внешний носитель,переустановить систему и впихнуть все обратно? - не может быть.... какжитак... а пацаны-то и не знают...
я тебе больше скажу - так можно делать не только с msql, но и вообще дохуя с чем, начиная от игрушек, которым подсовывать старые сейвы дети умеют уже в 5 лет..
но хуй знает.. без оценки..
ты старался же..

Как это ни странно, эта инструкция неочевидна, в других ЦОДах восстанавливались из бэкапов с потерей данных минимум в 1 день.

я хз че у вас за цоды.. но поделом.
уж на что я безрукий, но и то в бытность сисадмином бэкапил в разные места в зависимости от дня недели и держал актуальные бэкапы за последнюю неделю.
и переустанавливать стопицот аналогичных компов просто дурь несусветная.. один сделал и настроил, остальные с образа накатил..
ну и естественно бэкапы не могут оставаться в локалке. это азы.
а вы продолжайте изобретать паравозы, братья блять черепановы..

[^]

uav77	28.05.2024 - 16:51 [ показать ] 1
Статус: Offline Балагур Регистрация: 24.09.22 Сообщений: 825	Сдэк всегда хвалился большими зарплатами, в том числе айтишникам. Но они все равно не вывезли, и денег наверное не вернут. Размещено через приложение ЯПлакалъ
	[^]

vaisman

28.05.2024 - 16:57

Статус: Offline

Ярила

Регистрация: 10.03.14
Сообщений: 28664

Цитата (uav77 @ 28.05.2024 - 16:51)

Сдэк всегда хвалился большими зарплатами, в том числе айтишникам. Но они все равно не вывезли, и денег наверное не вернут.

Ну так связь между размером ЗП и качеством сервиса не так очевидна, как кажется. За мало денег ты имеешь мало шансов нанять толкового спеца (но есть шанс выцепить толкового джуна, который преисполнится в своем развитии, сделает тебе збс и свалит на высокие орбиты). За много денег у тебя больше шансов нанять толкового спеца, но шансы нанять толкового пиздабола не меньше. Так что много денег - не гарантия того что все будет хорошо.

[^]

~~KEMEPOBO~~

28.05.2024 - 17:02

-1

Статус: Offline

Ярила

Регистрация: 20.11.09
Сообщений: 2723

Цитата (1vova1 @ 28.05.2024 - 18:06)

Для 99,999% местных обитателей это абракадабра.
Не зли их... Они стратеги, эпидемиологи, политики, философы, учёные, не для них твоя непонятная поипень.

[^]

Aberrant

28.05.2024 - 17:21

-1

Статус: Offline

На фоксе! Всегда!

Регистрация: 3.10.20
Сообщений: 3538

Цитата (KEMEPOBO @ 28.05.2024 - 17:02)

Цитата (1vova1 @ 28.05.2024 - 18:06)

ну да,
даже без оглядки на то, что ТС написал как делать не надо ни в коем случае

[^]

volabirius

28.05.2024 - 17:23

Статус: Offline

Ярила

Регистрация: 11.04.13
Сообщений: 2574

Цитата

вот это вообще пиздец...
хотя я линуксоид, и в вендах ничо не понимаю, но хранить на системном диске базы, это выше моего понимания.
хотя наверное никто не парится при установке софта "далее"-"далее" жамкают, посто же хуле, юзер-френдли ёбанаврот

Херота полнейшая в тексте, в винде как я помню с 2008 бекап работает четко и диски он скрывает от всех, шифровальщик бекапы не тронет это раз.
В скл если открыть порт только 1433 насколько мне припоминается то хуй какой тибо шифровальщик проберется, для админки 3398 можно юзать, галки только на tcp/ip и QoS.
И всё.
Кстате скл бекапит в папки которым безопасность настраивает от экземпляра, так что даже в файловые бекапы шифровальшик не тронет.

Размещено через приложение ЯПлакалъ

[^]

~~uniJap~~

28.05.2024 - 17:47

Статус: Offline

Крокодил, крокожу и буду крокодить!

Регистрация: 15.03.12
Сообщений: 4526

Цитата (Modigar @ 28.05.2024 - 17:21)

Цитата

С диска c: копируются все файлы системных БД СУБД MSSQL(master, model, msdb и mssqlsystemresource) хоть на usb-флешку, т.к. они имеют небольшой размер. Если рабочие базы лежат на системном диске, то и их тоже. Кроме того можно посмотреть каталог C:\Program Files\Microsoft SQL Server\{version}\Setup Bootstrap\Update Cache

Раз линуксоид - хохму оценишь. У меня никсоидный сервер тянется к промежуточной виндовой шаре и забирает оттуда бекапы себе. Ну, раскладывает их по дням итд.
Да пусть хоть всю инфраструктуру форточек зашифруют - на никсы-то вирь не попадет. )
И наоборот, соответственно.
А вот универсальных, которые и вин и никс пробивают - пока не встречал. )) От такой я обломщик. )

[^]

Aberrant

28.05.2024 - 17:49

Статус: Offline

На фоксе! Всегда!

Регистрация: 3.10.20
Сообщений: 3538

Цитата (volabirius @ 28.05.2024 - 17:23)

шифровальщик разве не ищет файлы по дате и не пытается повысить свои права, чтобы обойти защиту на запись?
блять, как у вас всё просто 🤣

Размещено через приложение ЯПлакалъ

[^]

volabirius

28.05.2024 - 17:53

Статус: Offline

Ярила

Регистрация: 11.04.13
Сообщений: 2574

Цитата

шифровальщик разве не ищет файлы по дате и не пытается повысить свои права, чтобы обойти защиту на запись?
блять, как у вас всё просто 🤣

Ему пароль нужно знать, да шифровало что в шаре лежало с доступом всё для всех, ну и пользователя под каким проникло тоже шифрануло. 15 минут из бекапа папки по выбору шару и профиль пользователя восстановили и все дела. Это на терминальном серваке было, так что разгуляться ему место было и не раз. Антивири неиспользуем виндовых хватает вполне.

Размещено через приложение ЯПлакалъ

[^]

~~uniJap~~

28.05.2024 - 17:54

Статус: Offline

Крокодил, крокожу и буду крокодить!

Регистрация: 15.03.12
Сообщений: 4526

Цитата (cpollux @ 28.05.2024 - 17:24)

Цитата (Modigar @ 28.05.2024 - 15:21)

Цитата

я тож в ахуеее еси честна))) там просто ламер какой та или это так сейчас работаит)))) хранить бекапы в сетке))) сиквелы в домене))) образов для восстановления нет))) идити люди в школу нах снова))

Это от бедности на самом деле. Не у всех схд есть, к примеру. С деньгами любой дурак нормально сделать может. А ты попробуй, когда айтишники себе на бюджет из нычек дворовых собак промышляют. )

[^]

Aberrant

28.05.2024 - 18:01

Статус: Offline

На фоксе! Всегда!

Регистрация: 3.10.20
Сообщений: 3538

Цитата (volabirius @ 28.05.2024 - 17:53)

вспоминаем историю дыр мелкомягких, тот же sassr, который был последней каплей для моего полного отказа от m$ и пытаемся ответить себе на вопрос - а какому вирусу нужны были пароли для повышения привелегий до системных или админских? 🤣

Размещено через приложение ЯПлакалъ

[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 32031
0 Пользователей: