По мотивам сбоя СДЭК

 [ Версия для печати ]
Добавить в Telegram Добавить в Twitter Добавить в Вконтакте Добавить в Одноклассники
Страницы: (9) 1 2 [3] 4 5 ... Последняя »  К последнему непрочитанному [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]
Freeformer
28.05.2024 - 18:27
7
Статус: Offline


Ярила

Регистрация: 19.08.16
Сообщений: 2758
Если ты построил систему так, что любой еблан сможет уничтожить всë в ней под ноль открыв письмо с шифровальщиком на одном из компов в сети, то тебе в этой сфере нехуя ловить.

Размещено через приложение ЯПлакалъ
 
[^]
Nick413
29.05.2024 - 00:47
8
Статус: Offline


Шутник

Регистрация: 30.01.14
Сообщений: 23
Такое я пропустить не мог, аж восстановил пароль забытый от yaplakal.

Какое "мать его за ногу" восстановление через бэкапы в виде файлов?
20 лет назад так делали, динозавры что ли в ИТ работают у вас там, вопрос за что зарплату получают тогда, если не развивают ИТ инфраструктуру и не переводят на современные решения??? Домен контроллеры поди 2003 стоят, да? Протокол SMBv1 не отключен???

Сейчас резервное копирование с восстановлением везде на уровне сервиса.
Бэкапятся виртуальные машины на отдельное хранилище. Например на NAS.
Логин и пароль система резервного копирования использует локальные NAS, сам NAS конечно в домен вводить не нужно, логин и пароль от сервисной учетки агента резервного копирования (сервисная учетка) шифруются в системе резервного копирования.

Восстанавливаются все критичные ИТ сервисы за 3-4 часа максимум и скорость восстановления зависит от скорости передачи данных, чтения и записи данных и все! Нет зависимости от умения ИТ специалиста установить заново ИТ сервис СУБД. Читаю я это все и немного в шоке.

Это сообщение отредактировал Nick413 - 29.05.2024 - 01:12
 
[^]
energizerK
29.05.2024 - 00:54
1
Статус: Offline


Ярила

Регистрация: 18.12.22
Сообщений: 6690
Кому ты это расказываешь. Ходил туда устроиватся мне предлагали около 40 тыс за 14 часовой рабочий день, 5 дней в неделю. Ушел тогда с другой работы 60 тыс устроился на 80 тыс, и часов раза в 2 меньше. Там пиздец олени не пуганные сидят в руководстве. Так что сдох максим да и х с ним. Такие конторы должны пожраттся конкурентами.
 
[^]
energizerK
29.05.2024 - 00:56
0
Статус: Offline


Ярила

Регистрация: 18.12.22
Сообщений: 6690
Цитата (Nick413 @ 29.05.2024 - 00:47)
Такое я пропустить не мог, аж восстановил пароль забытый от yaplakal.

Какое "мать его за ногу" восстановление через бэкапы с виде файлов?
20 лет назад так делали, динозавры что ли в ИТ работают у вас там, вопрос за что зарплату получают тогда, если не развивают ИТ инфраструктуру и не переводят на современные решения??? Домен контроллеры поди 2003 стоят, да? Протокол SMBv1 не отключен???

Сейчас резервное копирование с восстановлением везде на уровне сервиса.
Бэкапятся виртуальные машины на отдельное хранилище. Например на NAS.
Логин и пароль система резервного копирования использует локальные NAS, сам NAS конечно в домен вводить не нужно, логин и пароль от сервисной учетки агента резервного копирования (сервисная учетка) шифруются в системе резервного копирования.

Восстанавливаются все критичные ИТ сервисы за 3-4 часа максимум и скорость восстановления зависит от скорости передачи данных, чтения и записи данных и все! Нет зависимости от умения ИТ специалиста установить заново ИТ сервис СУБД. Читаю я это все и немного в шоке.

Да не получает там никто з/п, я с директором по телефону разговаривал там директор на 2 филиала на наш и на соседний город. gigi.gif Цирк с конями короче.
 
[^]
BattlePorQ
29.05.2024 - 00:58
0
Статус: Offline


Парасьонах

Регистрация: 20.07.09
Сообщений: 64327
Цитата (1vova1 @ 28.05.2024 - 15:06)
Если речь про шифровальщики, то он шифрует все компьютеры подряд: рабочие станции пользователей, контроллеры доменов, серверы резервного копирования, рядовые серверы, в общем всё, до чего сможет дотянуться по сети.

Извините. А как можно по сети дотянуться до сервера бэкапов?
Ну или хотя бы до снэпшотов zfs?
 
[^]
BattlePorQ
29.05.2024 - 01:01
1
Статус: Offline


Парасьонах

Регистрация: 20.07.09
Сообщений: 64327
Цитата (adammazer2 @ 28.05.2024 - 16:50)
Права доступа решают.

Угу. Но не в винде, там нюансы ))
 
[^]
ЯЕсть
29.05.2024 - 01:02
0
Статус: Offline


Ярила

Регистрация: 12.11.15
Сообщений: 1141
Цитата
Всем, кто смеётся над рукожопостью IT-шников и отсутствию бэкапов, хотел бы рассказать как это выглядит в реале.


Все резко перестали смеяться и начали аплодировать! bravo.gif cheer.gif
 
[^]
Stealthtm
29.05.2024 - 01:05
3
Статус: Offline


Ярила

Регистрация: 29.03.15
Сообщений: 1986
Базы на диске С? Реально?
Гнать ссаными тряпками таких админов.
 
[^]
seansetv
29.05.2024 - 01:09
0
Статус: Offline


сКотоПёс

Регистрация: 28.01.16
Сообщений: 1036
это все интересно, начинай с начало!
ноооо!
Когда это говно заработает?
Раз в год связываюсь и попадаю "в просак"
 
[^]
Citizen72
29.05.2024 - 01:22
3
Статус: Offline


Ярила

Регистрация: 2.01.17
Сообщений: 4404
Цитата (volabirius @ 28.05.2024 - 17:23)
Цитата
вот это вообще пиздец...
хотя я линуксоид, и в вендах ничо не понимаю, но хранить на системном диске базы, это выше моего понимания.
хотя наверное никто не парится при установке софта "далее"-"далее" жамкают, посто же хуле, юзер-френдли ёбанаврот

Херота полнейшая в тексте, в винде как я помню с 2008 бекап работает четко и диски он скрывает от всех, шифровальщик бекапы не тронет это раз.
В скл если открыть порт только 1433 насколько мне припоминается то хуй какой тибо шифровальщик проберется, для админки 3398 можно юзать, галки только на tcp/ip и QoS.
И всё.
Кстате скл бекапит в папки которым безопасность настраивает от экземпляра, так что даже в файловые бекапы шифровальшик не тронет.

Вы сначала почитайте технологию внедрения и распространения шифровальщика mimic, а уже потом пишите такие ламерские комменты.
Над этим целая группа в Турции работала, спецом ориентирована была на сервера SQL корпораций. Шифрует всё подряд, у него в теле лежит список масок шифруемого, там и сами базы, и бэкапы, и скрипты , и 1С-ные базы , и виртуальные машины, в-общем всё, что есть . Технология развертывания, тоже продуманная. Вначале, вирус определяет все цели, подсчитывает объем будущего шифрования ( видимо, есть алгоритм подсчета лимита времени атаки), потом формирует файл-шифровщик и отправляет на все цели. Попав, отключает все сервисы, безопасность, теневые копии, скрывает свой процесс и начинает шифрование. После шифрования , самоуничтожается. Атака на сервера корпорации Ткачева, думаю, проведена тем же mimic-ом. У Касперского, нет ни расшифровщика, ни средства обнаружения клонов mimic-a. На сайте Каспера, советуют . только хранить зашифрованные, вдруг сольется алгоритм криптования ( такое было)

Это сообщение отредактировал Citizen72 - 29.05.2024 - 01:24
 
[^]
ПетяСискин
29.05.2024 - 01:23
1
Статус: Offline


Гость

Регистрация: 3.02.15
Сообщений: 339
Из всего текста я понял только, что тс работал в крупной компании. Всё остальное на каком то зашифрованном языке. Наверное в текст шифровальшик пробрался.
 
[^]
BattlePorQ
29.05.2024 - 01:28
5
Статус: Offline


Парасьонах

Регистрация: 20.07.09
Сообщений: 64327
Цитата (Citizen72 @ 29.05.2024 - 01:22)
Вначале, вирус определяет все цели, подсчитывает объем будущего шифрования ( видимо, есть алгоритм подсчета лимита времени атаки), потом формирует файл-шифровщик и отправляет на все цели. Попав, отключает все сервисы, безопасность, теневые копии, скрывает свой процесс и начинает шифрование. После шифрования , самоуничтожается.

А потом мы поднимаем образ ВМ из бэкапа суточного, а БД из снэпшота 15-минутной давности и продолжаем работать.
 
[^]
Citizen72
29.05.2024 - 01:30
1
Статус: Offline


Ярила

Регистрация: 2.01.17
Сообщений: 4404
Цитата (BattlePorQ @ 29.05.2024 - 01:28)
Цитата (Citizen72 @ 29.05.2024 - 01:22)
Вначале, вирус определяет все цели, подсчитывает объем будущего шифрования ( видимо, есть алгоритм подсчета лимита времени атаки), потом формирует файл-шифровщик и отправляет на все цели. Попав, отключает все сервисы, безопасность, теневые копии, скрывает свой процесс и начинает шифрование. После шифрования , самоуничтожается.

А потом мы поднимаем образ ВМ из бэкапа суточного, а БД из снэпшота 15-минутной давности и продолжаем работать.

суточный, на отдельном диске,в сейфе?
 
[^]
BattlePorQ
29.05.2024 - 01:32
3
Статус: Offline


Парасьонах

Регистрация: 20.07.09
Сообщений: 64327
Цитата (Citizen72 @ 29.05.2024 - 01:30)
суточный, на отдельном диске,в сейфе?

Да хотя б на отдельной СХД. Что может виндовый шифровальщик сделать с zfs, которая по smb не расшарена в принципе?
 
[^]
Citizen72
29.05.2024 - 01:34
-1
Статус: Offline


Ярила

Регистрация: 2.01.17
Сообщений: 4404
На Trendmicro, почитайте обзор, там все схемы разложены. Это промышленный уровень атак, не домашние заготовки
 
[^]
BattlePorQ
29.05.2024 - 01:36
1
Статус: Offline


Парасьонах

Регистрация: 20.07.09
Сообщений: 64327
Цитата (Citizen72 @ 29.05.2024 - 01:34)
На Trendmicro, почитайте обзор, там все схемы разложены. Это промышленный уровень атак, не домашние заготовки

Всё утыкается в скомпрометированные учётные данные в итоге. Но это уже человеческий фактор.
 
[^]
Citizen72
29.05.2024 - 01:40
-1
Статус: Offline


Ярила

Регистрация: 2.01.17
Сообщений: 4404
Цитата (BattlePorQ @ 29.05.2024 - 01:32)
Цитата (Citizen72 @ 29.05.2024 - 01:30)
суточный, на отдельном диске,в сейфе?

Да хотя б на отдельной СХД. Что может виндовый шифровальщик сделать с zfs, которая по smb не расшарена в принципе?

Есть драйвера ZFS для Windows.
 
[^]
Citizen72
29.05.2024 - 01:41
-1
Статус: Offline


Ярила

Регистрация: 2.01.17
Сообщений: 4404
Я, не писал этот вирус, поэтому не знаю, всего, на что он способен, но то, что это было проблемой №1 в конце 2023 - начале 2024, это - факт
 
[^]
ELEA
29.05.2024 - 01:44
1
Статус: Offline


Ярила

Регистрация: 29.01.15
Сообщений: 5853
"и заменяем системные базы старыми" - так а если они то и зашифрованы, и бэкап тоже?
Проблема же не в домене и не пользователях. Проблема в посылках, оплатах и статусах документов...
Там же вся попаболь в том, что база и бэкапы зашифрованы....
 
[^]
Semetsky
29.05.2024 - 01:44
0
Статус: Offline


Ярила

Регистрация: 8.09.14
Сообщений: 3716
Kubernetes наше все
 
[^]
Citizen72
29.05.2024 - 01:45
0
Статус: Offline


Ярила

Регистрация: 2.01.17
Сообщений: 4404
Цитата (BattlePorQ @ 29.05.2024 - 01:36)
Цитата (Citizen72 @ 29.05.2024 - 01:34)
На Trendmicro, почитайте обзор, там все схемы разложены. Это промышленный уровень атак, не домашние заготовки

Всё утыкается в скомпрометированные учётные данные в итоге. Но это уже человеческий фактор.

Всё, всегда, упирается в расковыривании доступа. Если, изначально, на 100% обезопаситься от появления вируса в системе, можно половину мероприятий по безопасности, сразу исключить. Но, пока , нет такого. Потому что , шифровальщик - это не вирус, а такая же программа, как любое другое приложение
 
[^]
Citizen72
29.05.2024 - 01:57
0
Статус: Offline


Ярила

Регистрация: 2.01.17
Сообщений: 4404
Цитата (ELEA @ 29.05.2024 - 01:44)
"и заменяем системные базы старыми" - так а если они то и зашифрованы, и бэкап тоже?
Проблема же не в домене и не пользователях. Проблема в посылках, оплатах и статусах документов...
Там же вся попаболь в том, что база и бэкапы зашифрованы....

тут намекали на то, что помимо бэкапа баз, ежедневно создаются копии виртуальных машин. Тогда, при условии целостности копии ВМ, из нее подымается весь виртуальный сервер. Но, это - совершенно другие объемы резервирования и не майкрософтовая система ВМ. Всё реально и осуществимо, при иных затратах.
Не у всех - такие бюджеты
 
[^]
anikifya
29.05.2024 - 08:51
1
Статус: Offline


Ярила

Регистрация: 20.04.10
Сообщений: 7904
Цитата

Если речь про шифровальщики, то он шифрует все компьютеры подряд: рабочие станции пользователей, контроллеры доменов, серверы резервного копирования, рядовые серверы, в общем всё, до чего сможет дотянуться по сети.


Вот если вот то что преречислено случилось, значит админ был совсем долбоеб, что сказать то?
Ведь доступ на выполнение этих действий у вируса появился не только лишь сам, а в результате тупизны админа или да?

Это сообщение отредактировал anikifya - 29.05.2024 - 08:53
 
[^]
Michail007
29.05.2024 - 09:07
0
Статус: Offline


Ярила

Регистрация: 1.01.15
Сообщений: 1322
Цитата (Гинеколог @ 28.05.2024 - 15:49)
Цитата (1vova1 @ 28.05.2024 - 15:06)
Прочитал про падение серверов СДЭК и прямо до мелочей вспомнил, как почти 7 лет назад принимал участие в устранении последствий вируса-шифровальщика.

7 лет назад я работал в крупной компании, и так как за два года до события я работал там же администратором баз данных, то меня тоже пригласили помогать в процессе поднятия серверов БД.

Всем, кто смеётся над рукожопостью IT-шников и отсутствию бэкапов, хотел бы рассказать как это выглядит в реале.

Если речь про шифровальщики, то он шифрует все компьютеры подряд: рабочие станции пользователей, контроллеры доменов, серверы резервного копирования, рядовые серверы, в общем всё, до чего сможет дотянуться по сети.

Прежде чем что-либо восстанавливать нужно найти выживший контроллер домена, если такого нет и нет бэкапа, то придётся строить инфраструктуру с нуля. Контроллер домена - это такой главный сервер в инфраструктуре, в котором содержится база данных всех пользователей, компьютеров, серверов и т.д. В нашем случае нам повезло и у нас такие нашлись. Параллельно начали поднимать серверы резервного копирования, по сути нужно взять и установить всё с нуля и подцепить к нему базу бэкапов.

Ну и после поднятия началась планомерная работа по восстановлению наиболее критичных систем.

Пока сисадмины возились с контроллерами я выработал схему восстановления серверов БД не прибегая к бэкапам. Повезло в том, что вирус не тронул файлы БД, а шифровал только офисные файлы, текстовые и системные каталоги Windows.

Процесс выглядел вот таким образом:
1. С диска c: копируются все файлы системных БД СУБД MSSQL(master, model, msdb и mssqlsystemresource) хоть на usb-флешку, т.к. они имеют небольшой размер. Если рабочие базы лежат на системном диске, то и их тоже. Кроме того можно посмотреть каталог C:\Program Files\Microsoft SQL Server\{version}\Setup Bootstrap\Update Cache, чтобы понимать какие обновления были установлены ранее.
2. Форматируется системный раздел и заново ставится ОС.
3. Заводим сервер в домен.
4. Устанавливаем SQL Server и все обновления, которые были на сервере до этого.
5. Останавливаем службы SQL и заменяем системные базы старыми(новенькие можно куда-нибудь скопировать на всякий случай, вдруг что-то пойдёт не так).
6. Запускаем SQL Server и проверяем получилось или нет.

В процессе установки ОС у подключенных дисков могут стать несколько иными буквы дисков, но в принципе при подключении старой базы master и в логах SQL Server можно увидеть нужные пути до баз и просто переименовать буквы дисков.

С кластерами всё работает точно так же, просто процесс установки дольше, т.к. установить SQL и обновления нужно на все ноды

Вот такой простой подход позволил восстановить все серверы БД SQL Server без потерь в данных.

Вдруг кому пригодится в будущем.

Можно помедленнее - я записываю! ©

Так как ты плохо читаешь, пишу медленно... gigi.gif
 
[^]
hostchel
29.05.2024 - 09:44
0
Статус: Offline


Ярилище

Регистрация: 6.02.14
Сообщений: 2496
Цитата (barsuk11 @ 28.05.2024 - 15:12)
Тебе не интересно,, не мешай


Размещено через приложение ЯПлакалъ

По мотивам сбоя СДЭК
 
[^]
Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) Просмотры темы: 32037
0 Пользователей:
Страницы: (9) 1 2 [3] 4 5 ... Последняя » [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]


 
 



Активные темы






Наверх