Arkadii007 389 Опубликовано: 5 февраля, 2014 Пришёл на работу, звонок из бухгалтерии. Программа не видит базы 1С. Захожу на терминальный сервер 1С, а там по всем дискам раскидан lockdir.exe, программа Folder Protector. и нет не одной базы, плюс еще и файлы "обмена" зашифрованы. и рядышком невзначай текстовик Help.txt Содержание которого(копировано с сохранением орфографии ) Здравствуйте, мои дорогие друзья! Все ваши драгоценные базы и файлы, заблокированны и находятся на ваших дисках, в тех же местах.Для разблокировки необходимо ввести код.По вопросам получения кода пишите сюда: [email protected] ваш id 2225 Кто нибудь встречался с подобными действиями? Как лечили? Или всё же мне думать что кто то из своих? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Scott 102 Опубликовано: 5 февраля, 2014 архивация не? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 5 февраля, 2014 архивация не? Архивы были естественно, паники никакой нет, всё уже решено, просто интересно кто нить еще сталкивался с такой проблемой. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Scott 102 Опубликовано: 5 февраля, 2014 если на вирус инфо не писал, то помимо тебя уже двое. Вообще расследование делал, к каким выводам пришел? откуда, кто, когда? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 5 февраля, 2014 если на вирус инфо не писал, то помимо тебя уже двое. Вообще расследование делал, к каким выводам пришел? откуда, кто, когда? Зашли на сервер в 3 часа ночи. Программа была запущена от пользователя главного бухгалтера без администраторских прав. Сейчас запросили входящие подключения на внешний ip ждём результата. А те предыдущие двое выкупали свои базы? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Scott 102 Опубликовано: 5 февраля, 2014 не выкупали, ждут ответов от вирус инфо. Я так понимаю Фолдер Протектор стоял на терминальном сервере заранее? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
VasjaPupkin 92 Опубликовано: 5 февраля, 2014 Трясите главбуха. Кому пароли дарила. Или на бумажке приклеенной к монику написан. Не Китайцы же взломали базу. И вообще нафиг Folder Protector? Сами ставили? 1 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 5 февраля, 2014 не выкупали, ждут ответов от вирус инфо. Я так понимаю Фолдер Протектор стоял на терминальном сервере заранее? Нет заранее она не стояла, её поставили злоумышленники . А они Тотал команделром не пробовали извлекать базы? Я просто не пойму толи они на лоха рассчитывали... я без труда извлёк все файлы с помощю Total Commander Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 5 февраля, 2014 Трясите главбуха. Кому пароли дарила. Или на бумажке приклеенной к монику написан. Не Китайцы же взломали базу. И вообще нафиг Folder Protector? Сами ставили? Ну пароли как всегда... были записаны везде где только можно. Поставил сложность пароля поменял всех пользователей. Я думаю он обязательно еще попытается зайти ... как бы его поймать Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
sharky 545 Опубликовано: 5 февраля, 2014 смени порт rdp )) на всякий случай )) Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 5 февраля, 2014 На форумах пишут что на вирус инфо посылают с такими проблемами Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 5 февраля, 2014 смени порт rdp )) на всякий случай )) Бухгалтеров у нас штук 50 плюс удалённые. Лень менять если честно. Думаю смена всех паролей решило проблему Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
sharky 545 Опубликовано: 5 февраля, 2014 Бухгалтеров у нас штук 50 плюс удалённые. Лень менять если честно. Думаю смена всех паролей решило проблему я тоже так думал )) но пришлось менять порт и тогда все наладилось Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 5 февраля, 2014 я тоже так думал )) но пришлось менять порт и тогда все наладилось Спасибо. буду менять порт RDP Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
sharky 545 Опубликовано: 5 февраля, 2014 Спасибо. буду менять порт RDP я сделал так ))) внутренний оставил тот же а по внешке по другому пору подключаются Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
yar1k 2 576 Опубликовано: 6 февраля, 2014 Зашли на сервер в 3 часа ночи. Программа была запущена от пользователя главного бухгалтера без администраторских прав. Сейчас запросили входящие подключения на внешний ip ждём результата. А те предыдущие двое выкупали свои базы? Почему бы не поставить файрволл на входе в компанию? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 6 февраля, 2014 Он есть... sqiud -ом зовётся... но людям нужно удалённо работать Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
timon1978 89 Опубликовано: 6 февраля, 2014 Он есть... sqiud -ом зовётся... но людям нужно удалённо работать squid - это не файрволл. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Scott 102 Опубликовано: 6 февраля, 2014 squid - это кальмар Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 6 февраля, 2014 squid - это не файрволл. Правильно это прокси Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
sharky 545 Опубликовано: 6 февраля, 2014 Почему бы не поставить файрволл на входе в компанию? а порт на rdp один фиг будет открыт ) Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Sergun 302 Опубликовано: 18 февраля, 2014 Прошлый обиженный админ может? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Startwar 2 316 Опубликовано: 18 февраля, 2014 Последние 2 недели на наш сервер с периодичностью в 2-3 минуты к RDP пытаются подключатся с разными именами и паролями. В день выходило в пик до 5 тыс. попыток подключения. Не отключал специально, ждал пока наберется база IP, вчера вечером эти IP поставил в список игнорируемых. Может пригодится список IP =) 1.214.195.671.54.144.2032.73.202.202.135.132.2232.144.171.2392.144.211.1552.179.239.2262.50.20.2555.19.237.215.19.242.10814.213.117.19314.160.41.24614.96.205.1114.98.121.23014.140.242.4227.41.132.8727.41.140.1127.41.140.19427.41.141.7027.41.145.22727.105.21.4331.214.145.12331.214.201.17631.43.113.2231.181.103.24237.104.29.3037.104.6.21137.104.84.13337.107.61.15337.32.118.12237.32.119.5339.54.162.7141.114.220.25341.137.63.20341.138.106.19641.182.202.1341.209.121.5841.218.49.11741.197.41.241.202.209.17641.225.36.8141.242.105.16941.243.35.20946.28.66.4846.63.72.8046.165.221.7046.203.27.3749.248.152.15558.241.40.7059.99.154.23061.163.181.5061.5.204.5061.205.56.14462.122.207.662.233.161.16462.113.86.19967.20.183.16278.38.108.19478.134.34.21778.180.183.1578.46.223.21279.140.17.9179.180.6.23980.14.193.11980.194.50.11680.253.130.6681.219.209.18881.192.152.24282.116.44.16282.205.33.10983.2.169.15983.236.241.17283.110.105.25184.42.56.25084.51.71.9985.113.60.22485.143.152.6585.17.254.13885.21.132.5885.238.99.5985.42.227.18687.103.212.8187.197.87.1787.246.233.4188.60.184.188.147.148.13688.250.200.1189.222.227.14089.222.243.489.96.28.1289.151.138.8689.246.80.20689.228.233.12291.185.47.19691.246.122.191.246.232.2691.189.221.10891.98.104.5791.99.194.592.62.155.3193.174.132.21994.137.28.15894.231.116.13194.24.173.1295.181.48.23895.211.100.141103.1.210.83103.5.133.2109.167.204.68109.195.102.189109.195.194.92109.172.77.81110.139.113.32110.156.190.63110.164.84.5111.84.133.139112.215.64.170112.215.65.197113.169.95.42113.170.142.90113.170.87.109115.184.104.17115.240.237.45115.77.138.172115.77.241.197116.118.18.69116.24.154.52116.71.29.81117.195.234.91117.197.104.198117.198.233.96117.201.232.225117.203.208.78117.205.25.41117.195.68.136117.211.61.135117.219.179.51117.219.3.137118.166.104.101118.166.105.5118.166.107.176118.95.103.33118.169.219.166119.152.53.73119.152.48.247119.204.251.68120.60.137.195121.20.80.96121.245.125.165122.168.242.143122.42.219.47122.177.170.71125.64.14.176152.101.38.180171.242.38.73176.102.37.93176.197.229.126176.62.194.145176.109.246.117176.9.197.20176.9.197.230176.45.56.208177.0.235.211177.18.151.169177.41.5.124178.211.101.231178.216.19.13178.90.163.217178.211.101.230178.121.236.251178.94.29.241178.131.38.217178.223.220.224178.89.56.192178.90.209.44178.91.99.191180.243.0.99180.194.225.39181.64.110.158182.156.234.253182.177.62.89182.177.92.155182.182.42.25182.182.52.48182.182.86.240182.185.93.5182.68.56.208183.78.61.89185.24.234.176186.203.194.6187.126.85.144187.2.133.88187.3.28.209187.35.21.92187.55.40.98188.162.57.176188.138.101.60188.50.97.85189.13.170.212189.106.94.138189.200.95.39189.220.202.112189.60.115.7189.70.254.22190.105.68.160190.115.128.38190.124.70.187190.165.251.100190.172.143.133190.239.214.89190.239.99.104190.82.143.219190.90.208.2195.155.1.41195.208.5.4195.22.229.83196.201.207.143197.123.150.213198.50.155.175200.150.200.50200.187.11.1201.184.23.16201.230.140.136201.230.57.44201.233.166.176201.244.215.9201.95.76.76202.108.197.236202.22.142.137202.166.214.81202.57.130.2203.115.117.106204.97.218.196210.57.249.100211.43.213.116212.220.206.150213.132.34.178213.184.140.47213.248.20.166213.87.128.187213.140.59.45216.99.157.166216.26.174.98217.36.215.205218.108.214.208218.56.161.79220.89.171.25222.173.170.26 За ночь, и на текущий момент не одной попытки =) Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Sergun 302 Опубликовано: 18 февраля, 2014 А у вас что сервер с базами к интернету имеет доступ? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
archi 757 Опубликовано: 18 февраля, 2014 у меня инет и буховский сервера отдельно ... вместе нельзя !!! Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах