Вход | Регистрация

  1  2
Информационные технологии ::

Метки: 

OFF: Атака на Windows 10 по RDP

Я
   falselight
 
05.10.17 - 08:43
Здравствуйте! Поделитесь информацией, как это может происходить?
Владелец сервера говорит что через rdp который он дал для
удаленного доступа к нему залезли недоброжелатели. Поставили
вымогатель, зашифровали каталоги и требуют выкуп.
Система Windows 10. Вообще пароль и пользователь не сложный был
на доступ по rdp. Бывает такое или это флуд?
 
 
   falselight
 
101 - 05.10.17 - 10:22
(100) Я спросил, платными предлагаете пользоваться антивирусами?
   DGorgoN
 
102 - 05.10.17 - 10:29
(101) Лучшая политика это бэкап. Причем бэкап не только локальный но и в облака через спец. канал.
   Fish
 
103 - 05.10.17 - 10:37
(101) Запомни уже наконец великую мудрость: Скупой платит дважды. А безопасность - это не та сфера, где нужно экономить. Например, сравни стоимость потерянных данных и связанного с этим простоя + затраты на восстановление и стоимость антивируса. Если стоимость сопоставима - вам антивирус не нужен.
   falselight
 
104 - 05.10.17 - 10:51
(102) У меня был бэкап, пробую восстановить пишет, ошибка потока. Это от чего так? Бэкап битый?
   falselight
 
105 - 05.10.17 - 10:52
(104+) Кажется платформа старая, попробую на новой.
   Йохохо
 
106 - 05.10.17 - 10:59
(104) бэкапы надо еще и проверять, причем до, а не после
   Fish
 
107 - 05.10.17 - 11:00
(104) DT - это не бэкап и никогда бэкапом не был.
   DGorgoN
 
108 - 05.10.17 - 11:04
А кажется просто dt тоже шифранули )
   Oftan_Idy
 
109 - 05.10.17 - 11:07
RDP последней версии с настройками по-умолчанию и хорошим паролем на 10 символов - это очень надежная вещь.
Все порты кроме RDP должны быть закрыты, номер порта не стандартный, ехо-ответ отключен, гостевая запись отключена.
Я не слышал чтобы ломали сам rdp. Это или знание или подбор тупого пароля (123456 или день рождение) или вирус изнутри сервер. Например зашли с сервера в инет и подцепили заразу.
   falselight
 
110 - 05.10.17 - 11:09
(108) я копировал до этого.
Там сейчас к дт всякие буквы добавлены
 
 Рекламное место пустует
   falselight
 
111 - 05.10.17 - 11:11
Странно, платформа та же, но не разворачивается (
   NorthWind
 
112 - 05.10.17 - 11:12
(99) нужно. Антивирус нужно покупать, еще нужно покупать нормальные файрволлы и еще, о ужас, надо платить специалистам которые разбираются в безопасности. А вы как хотели?
   Йохохо
 
113 - 05.10.17 - 11:13
(111) открой блокнотом, в начале должно быть что то типа 1CDBMSV8
   NorthWind
 
114 - 05.10.17 - 11:13
+ (112) если ничего из перечисленного приципиально не делать, но результат обычно такой как в (0)...
   falselight
 
115 - 05.10.17 - 15:40
(113) Долго открывался файл в блокноте.
В начале там, -???????
Может что с кодировкой файла?
   falselight
 
116 - 05.10.17 - 15:41
(115+) Японское иероглифы. Не отобразились при отправке.
   Fish
 
117 - 05.10.17 - 15:45
(113) У меня вначале DT вот такое: 1CIBDmpF3
   Fish
 
118 - 05.10.17 - 15:48
(116) Потому что не надо DT блокнотом открывать. Он для этого не предназначен. Смотри по F3 в том же ФАРе, например.
   falselight
 
119 - 05.10.17 - 15:54
(118) А в Total commander можно по F3?
   falselight
 
120 - 05.10.17 - 15:55
По F3 в total commander 1CIBDmpF3.
   Fish
 
121 - 05.10.17 - 15:57
(120) Значит, это заголовок DT. Но это ещё не значит, что он не битый :)
   falselight
 
122 - 05.10.17 - 15:57
Почему же он тогда не развернулся?
Ошибка потока, а другой более ранний развернулся.
   Fish
 
123 - 05.10.17 - 15:58
(122) Потому что DT не гарантирует на 100% ни то, что он развернётся. Поэтому его и нельзя использовать в качестве бэкапа. Эта тема стара, как мамонт.
   falselight
 
124 - 05.10.17 - 16:01
(123) А что использовать в качестве бэкапа файловой базы?
   ДядяМитяй
 
125 - 05.10.17 - 16:03
Поверишь? .1CD
   falselight
 
126 - 05.10.17 - 16:04
(125) То есть, из каталога базы брать .1CD?
И потом его открывать, не выгружать .dt?
Так правильно?
   ДядяМитяй
 
127 - 05.10.17 - 16:09
6.9.1. Файловый вариант информационной базы

ВНИМАНИЕ! Резервное копирование необходимо выполнять перед любой операцией, которая может повредить данные, находящиеся в информационной базе.

ВНИМАНИЕ! Во время выполнения операции резервного копирования информационной базы в файловом варианте к информационной базе не должно быть никаких подключений (в том числе и конфигуратором).
Создание резервной копии осуществляется в любой программе, поддерживающей работу с файлами. С помощью программы работы с файлами необходимо открыть каталог с информационной базой. Для создания копии информационной базы можно просто скопировать файл 1Сv8.1CD в отдельный каталог. Для восстановления (в случае утери, порчи и т. д.) информационной базы достаточно скопировать сохраненный файл в прежний каталог.

Заметим, что для копирования информационной базы также можно использовать специализированное программное обеспечение, предназначенное для резервного копирования и восстановления данных.

Для повышения информативности резервной копии, рекомендуется включать в ее состав также файлы журнала регистрации (подробнее см. здесь), которые хранятся в каталоге 1Cv8Log каталога информационной базы. В этом случае восстановление информационной базы также желательно выполнять совместно с журналом регистрации (каталогом 1Cv8Log). В этом случае станет доступна информация по всем действиям, которые были выполнены в информационной базе до момента резервной копии.
   ДядяМитяй
 
128 - 05.10.17 - 16:09
Это с ИТСа
   MM
 
129 - 05.10.17 - 16:14
(123) В общем-то верно, но с 8.3.9:
Выгрузка информационной базы в файл .dt будет прервана при обнаружении проблем с внутренней стуктурой информационной базы.
http://downloads.v8.1c.ru/content//Platform/8_3_11_2528/1cv8upd.htm#ef625835-b613-11e6-a3f7-0050569f678a
   falselight
 
130 - 05.10.17 - 16:15
(128) Ясно спасибо. В каких случаях тогда выгружать .dt?
   Fish
 
131 - 05.10.17 - 16:22
(129) Неверно скопипастил:
"Выгрузка информационной базы в файл .dt НЕ будет прервана при обнаружении проблем с внутренней структурой информационной базы." :))
   Fish
 
132 - 05.10.17 - 16:22
(130) В случае перевода файловой базы в скуль и обратно.
   Джо-джо
 
133 - 05.10.17 - 16:24
(123) .dt это бекап Шрёдингера
 
 
   Йохохо
 
134 - 05.10.17 - 16:25
(131) но на ошибке формата потока она таки грохнется
   MM
 
135 - 05.10.17 - 16:28
(131) Нет ошибся в ссылке
http://downloads.v8.1c.ru/content//Platform/8_3_11_2528/1cv8upd.htm#a8f5068d-c7f7-11e4-a3f7-0050569f678a
и это в 8.3.7. 1С не очень последовательна :)
   falselight
 
136 - 05.10.17 - 16:35
Выяснилась причина, от куда работали скрипты.
Под пользователем, -

asp.net

который обладал полными правами.
Никому не знакомо это?
   MM
 
137 - 05.10.17 - 16:44
(135)+ Хотя скорее в 8.3.7 поставили строгую проверку перед выгрузкой базы, а в 8.3.9 ослабили её, исключив проверки в маловажных структурах.
   rphosts
 
138 - 05.10.17 - 16:53
(0) а что ВПН нынче не кошерно?
   Fish
 
139 - 05.10.17 - 16:55
(136) Поиск нагуглил это: https://otvet.mail.ru/question/25358006
   falselight
 
140 - 05.10.17 - 16:59
(139) Спасибо, да говорили про Microsoft .NET Framework то что это с ней пришел этот файл.
И им пользуются злоумышленники? Нужно его удалять при его появлении?
   falselight
 
141 - 05.10.17 - 17:00
(140+) То есть этот пользователь системы.
   Fish
 
142 - 05.10.17 - 17:01
(140) Нет, злоумышленники пользуются безалаберностью пользователей и непрофессионализмом админов.
   falselight
 
143 - 05.10.17 - 17:04
(142) Под этим пользователем работал злоумышленник.
То есть если бы его админ. во время удалил, этого бы не было?
   Trimax
 
144 - 05.10.17 - 17:10
(143) Если-бы не было админских прав - то да. Вообще выяснять нужно кто что недавно устанавливал откуда качал дистрибутив с NET. В большинстве случаев, "правильные" программы требуют самостоятельно скачивать его, а не в составе дистрибутива, ибо оно охраняется законом об авторстве.
   falselight
 
145 - 05.10.17 - 17:12
(144) Ну как то он поставился, с какой то программой.
Или даже с операционной системой.
   Fish
 
146 - 05.10.17 - 17:13
(145) Как, как. Какой-то админ скачал и поставил. Некоторые игрушки, кстати требуют установки  .NET Framework.
   Fish
 
147 - 05.10.17 - 17:14
(145) С операционкой по умолчанию .NET Framework не ставится. Так что установка его - это вполне осмысленное действие.
   Woldemar177
 
148 - 05.10.17 - 17:17
(0) Сдается мне у ТС конфликт с предыдущим админом или программистом.
   Trimax
 
149 - 05.10.17 - 17:20
(145) Ну вот и ответ твоему начальству на претензии к тебе: NET не ставится автоматически с легальным контентом!!!
Это собственность майкрософта. Распространяется свободно, НО только с сайта майкрософта, все остальное - на свой страх и риск. Риск оказался неоправданым.
 
 Рекламное место пустует
   Trimax
 
150 - 05.10.17 - 17:21
(148) Нет. На него "вешают" косяк админа, и думаю затраты на восстановление и простои.
   falselight
 
151 - 05.10.17 - 17:26
(147) То есть принудительно он не может поставиться ни с операционной системой. Ни с 1с. Ни с какой другой нужной
программой?
   falselight
 
152 - 05.10.17 - 17:31
Сам он не мог поставится и прописаться в пользователи?
   Trimax
 
153 - 05.10.17 - 17:33
(151) НЕТ!!! Еще раз. NET является собственностью компании майкрософт и только они вправе раздавать его бесплатно.
   falselight
 
154 - 05.10.17 - 17:33
(153) Ну вот с win 10 при обновлении и встроили может его?
   Trimax
 
155 - 05.10.17 - 17:35
(152) Может, если прописан в составе дистрибутива (естественно с установкой с админскими правами), но данный дистрибутив автоматически становится "пиратским" в который может быть понапихано все что угодно, в том числе и шифровальщики и прочие трояны для автоматического снятия денег с Вашей личной банковской карты через клиент-банк.
   Trimax
 
156 - 05.10.17 - 17:37
(154) Ты по-моему переработал... Ты реально считаешь что единственный кто сегодня качал\устанавливал обновления винды?
   Йохохо
 
157 - 05.10.17 - 17:39
вы там иис с .нет не попутали, нет?
   falselight
 
158 - 05.10.17 - 17:41
После установки 1с никто не обнаруживал у себя .NET Framework?
   falselight
 
159 - 05.10.17 - 17:42
Понятно, не известно от куда он взялся. У меня его нет.
И асп.нет этого тоже.
   falselight
 
160 - 05.10.17 - 17:46
(155) Понятно, спасибо за развернутый ответ.
   Trimax
 
161 - 05.10.17 - 17:53
(160) Как личный совет. Рекомендуйте своему заказчику провести аудит его IT системы, сторонней организацией, специализирующейся на аутсорсинге. С соответствующими выводами о работе сисадмина. (хотя вменяемый начальник уже-бы расчитал такого админа).
   Woldemar177
 
162 - 05.10.17 - 17:59
(150) Сервер то какой? Система то понятно, а вдруг тс и зашифровал все?
   Trimax
 
163 - 05.10.17 - 18:04
(162) Да нету там ни чего, кроме авиры и прямого канала в инет с админскими правами всем входящим.
   Trimax
 
164 - 05.10.17 - 18:05
+ (163) и кучи софта (читать игрушек) качаемого с левых сайтов. Не удивлюсь, если втихарца и парнушкой балуются :)
   Woldemar177
 
165 - 05.10.17 - 18:07
(164) я и подумал - вы не устали бесплатно советы давать?
   Trimax
 
166 - 05.10.17 - 18:17
(165) Плачу той-же монетой. Мне тут много помогли абсолютно бесплатно... С некоторыми ещё и платно (на много дешевле чем местные франчи) посотрудничал.
   Йохохо
 
167 - 05.10.17 - 18:21
(162) да легко, решил опубликовать базу, нашел на руборде самый древний надежный иис, согласился на "настроить фаервол", хоп и кошка больше не тороид, шаловливые ручки пробили анизотропную пленку спасавшую попу кошки от разжижающего мозги влияния ввв
   Брудвар
 
168 - 05.10.17 - 20:03
Вот у нас админ молодец, дал мне доступ по RDP но я даже если захочу что-нибудь заразить вирусом, то все равно не смогу. Даже просто сам файл с вирусом нельзя положить на комп. Что уж говорить о том чтобы вирус сам туда попал. Вообще никак.
   kofeinik
 
169 - 05.10.17 - 21:05
(168) Это ты не сможешь, а тот, кто поднял сам себе права с бесправной учетки asp.net - может. И шифровальщик - это не вирус.
   Йохохо
 
170 - 05.10.17 - 22:02
(168) тебе подсказывал кто то как это сделать
   Брудвар
 
171 - 06.10.17 - 00:40
(169) Да никто не сможет. Там же серверная операционка, и админ не тупой.
Москва - столица России.
(170) Не понятно. Ты про что?
   falselight
 
172 - 06.10.17 - 06:55
Все же это идет бесплатно и требуется большинству программ .NET Framework.
   K1RSAN
 
173 - 06.10.17 - 07:11
(172) Назовите РАБОЧИЕ программы, которым позарез нужен NET. У меня в основном он хочет установиться тогда, когда устанавливаю игры
   craxx
 
174 - 06.10.17 - 07:21
(0) На самом деле в винде дырок такая куча, что абсолютно не факт что через РДП это было. Моих клиентов на Вин2008 шифранули гениальным способом. Была такая дырка в winlogon - если ты 5 раз нажал шифт, то служба авторизации падала. Ну и короче - вешаешь отладчиком после этого cmd, который запускается, естественно, от имени системы, и заводишь из командной строки пользователя с любыми правами.
   mehfk
 
175 - 06.10.17 - 07:23
   falselight
 
176 - 06.10.17 - 07:46
(173) Точно не скажу, но на сколько помнится, что то требовало его установки в обязательно порядке.
Давно ничего не ставил.
   NorthWind
 
177 - 06.10.17 - 08:30
(168) использовав одну из известных уязвимостей, можно запустить интерпретатор команд с правами системной службы и получить доступ. Зачастую это делается, вообще не имея прав входа в систему - просто специально сформированным пакетом через сетевую карту срывают стек и запускают что надо.
   NorthWind
 
178 - 06.10.17 - 08:34
+(177) из свежего можно почитать по WanaCry, из более старого касательно винды - LoveSan (MSBlact), Sasser, Conficker и иже с ними.
   Дмитрий
 
179 - 06.10.17 - 08:38
(0) Бывает. Любой комп выставьте напрямую в интернет, а потом почитайте логи - там долбежка постоянная с подбором логинов
   Дмитрий
 
180 - 06.10.17 - 08:42
(96) антивирусы мало помогут, потому что реальный человек заходит по ломанному логину и запускает шифровальщик вручную.

Проверено на собственной шкуре
   Looking
 
181 - 06.10.17 - 08:45
(173)"Назовите РАБОЧИЕ программы, которым позарез нужен NET."

из того, что пришло на память, например "Подготовка пакета электронных документов для государственной регистрации", недавно такую ставил и как-раз из-за нее пришлось NET.Framework поставить, ранее его на ПК не было
https://www.nalog.ru/rn77/program/5961271/
http://slob-expert.ru/spravochnye-materialy/besplatnye-programmy-v-pomoshh-buxgalteru/kak-prosto-podgotovit-dokumenty-dlya-gosregistracii/
"С программой «ППДГР» при первой установке обязательно нужно использовать следующие программы:
пакет Microsoft NET.Framework 4.0. Если этот пакет не установлен на ваш компьютер, его необходимо установить. Ссылка на пакет Microsoft NET.Framework 4.0 — ссылка;
Microsoft Access Database Engine 2010. Установить эту программу можно по ссылке — ссылка."
   Looking
 
182 - 06.10.17 - 08:47
(151)"То есть принудительно он не может поставиться ни с операционной системой. Ни с 1с. Ни с какой другой нужной
программой?"

так можно-же посмотреть когда он был поставлен, может он давным-давно установлен, проверьте дату его установки.
   NorthWind
 
183 - 06.10.17 - 08:55
(174) пятикратное нажатие шифта включает режим залипания клавиш. У меня так.
   Брудвар
 
184 - 06.10.17 - 09:30
(183) Ага, и падение службы авторизации. Я всегда так делаю если нужно войти на сервер на работе когда админ отсутствует.
   Looking
 
185 - 06.10.17 - 09:33
(184)ОС какая?
   Брудвар
 
186 - 06.10.17 - 11:04
(185) Server 2016 Datacenter
   Автоном
 
187 - 08.10.17 - 13:26
(0)Один из самых популярных методов заражения криптолокером - RDP. Банальный брутафорс.

Проблема в том что многие выставляют RDP со старыми протоколами защиты, и слабым паролем.

Если выставляете RDP наружу - там есть штатные методы обеспечения безопасности, плюс пара пользователь- пароль должна быть достаточно сложной для брутафорса.
   mistеr
 
188 - 08.10.17 - 19:37
(0) Что-то древнее вы там словили: https://forum.drweb.com/index.php?showtopic=324287

Не факт, что сервис дешифровки до сих пор работает.

  1  2

Список тем форума
Рекламное место пустует Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует