Осторожно Хакеры 1С!

[Arkadii007 389]

Пришёл на работу, звонок из бухгалтерии. Программа не видит базы 1С. Захожу на терминальный сервер 1С, а там по всем дискам раскидан lockdir.exe, программа Folder Protector. и нет не одной базы, плюс еще и файлы "обмена" зашифрованы. и рядышком невзначай текстовик Help.txt Содержание которого(копировано с сохранением орфографии )  

 

Здравствуйте, мои дорогие друзья!

Все ваши драгоценные базы и файлы, заблокированны 
и находятся на ваших дисках, в тех же местах.
Для разблокировки необходимо ввести код.
По вопросам получения кода пишите сюда:

[email protected]

ваш id 2225 

 

Кто нибудь встречался с подобными действиями? Как лечили? Или всё же мне думать что кто то из своих?

[Scott 102]

архивация не?

[Arkadii007 389]

архивация не?

Архивы были естественно, паники никакой нет, всё уже решено, просто интересно кто нить еще сталкивался с такой проблемой. 

[Scott 102]

если на вирус инфо не писал, то помимо тебя уже двое. Вообще расследование делал, к каким выводам пришел? откуда, кто, когда?

[Arkadii007 389]

если на вирус инфо не писал, то помимо тебя уже двое. Вообще расследование делал, к каким выводам пришел? откуда, кто, когда?

Зашли на сервер в 3 часа ночи. Программа была запущена от пользователя главного бухгалтера без администраторских прав. Сейчас запросили входящие подключения на внешний ip ждём результата.  А те предыдущие двое выкупали свои базы? 

[Scott 102]

не выкупали, ждут ответов от вирус инфо. Я так понимаю Фолдер Протектор стоял на терминальном сервере заранее?

[VasjaPupkin 92]

Трясите главбуха. Кому пароли дарила. Или на бумажке приклеенной к монику написан.  Не Китайцы же взломали базу.  И вообще нафиг  Folder Protector? Сами ставили? 

[Arkadii007 389]

не выкупали, ждут ответов от вирус инфо. Я так понимаю Фолдер Протектор стоял на терминальном сервере заранее?

Нет заранее она не стояла, её поставили злоумышленники . А они Тотал команделром не пробовали извлекать базы? Я просто не пойму толи они на лоха рассчитывали... я без труда извлёк все файлы с помощю Total Commander

[Arkadii007 389]

Трясите главбуха. Кому пароли дарила. Или на бумажке приклеенной к монику написан.  Не Китайцы же взломали базу.  И вообще нафиг  Folder Protector? Сами ставили? 

Ну пароли как всегда... были записаны везде где только можно. Поставил сложность пароля поменял всех пользователей.

Я думаю он обязательно еще попытается зайти ... как бы его поймать

[sharky 545]

смени порт rdp )) на всякий случай )) 

[Arkadii007 389]

На форумах пишут что на вирус инфо посылают с такими проблемами

[Arkadii007 389]

смени порт rdp )) на всякий случай )) 

Бухгалтеров у нас штук 50 плюс удалённые. Лень менять если честно. Думаю смена всех паролей решило проблему 

[sharky 545]

Бухгалтеров у нас штук 50 плюс удалённые. Лень менять если честно. Думаю смена всех паролей решило проблему 

я тоже так думал )) но пришлось менять порт и тогда все наладилось 

[Arkadii007 389]

я тоже так думал )) но пришлось менять порт и тогда все наладилось 

Спасибо. буду менять порт RDP

[sharky 545]

Спасибо. буду менять порт RDP

я сделал так ))) внутренний оставил тот же а по внешке по другому пору подключаются

[yar1k 2 576]

Зашли на сервер в 3 часа ночи. Программа была запущена от пользователя главного бухгалтера без администраторских прав. Сейчас запросили входящие подключения на внешний ip ждём результата.  А те предыдущие двое выкупали свои базы? 

 

Почему бы не поставить файрволл на входе в компанию?

[Arkadii007 389]

Он есть... sqiud -ом зовётся... но людям нужно удалённо работать  

[timon1978 89]

Он есть... sqiud -ом зовётся... но людям нужно удалённо работать  

 

squid - это не файрволл.

[Scott 102]

squid - это кальмар

[Arkadii007 389]

squid - это не файрволл.

Правильно это прокси 

[sharky 545]

Почему бы не поставить файрволл на входе в компанию?

а порт на rdp один фиг будет открыт ) 

[Sergun 302]

Прошлый обиженный админ может?

[Startwar 2 316]

Последние 2 недели на наш сервер с периодичностью в 2-3 минуты к RDP пытаются подключатся с разными именами и паролями. В день выходило в пик до 5 тыс. попыток подключения. Не отключал специально, ждал пока наберется база IP, вчера вечером эти IP поставил в список игнорируемых. Может пригодится список IP =)

1.214.195.67
1.54.144.203
2.73.202.20
2.135.132.223
2.144.171.239
2.144.211.155
2.179.239.226
2.50.20.255
5.19.237.21
5.19.242.108
14.213.117.193
14.160.41.246
14.96.205.11
14.98.121.230
14.140.242.42
27.41.132.87
27.41.140.11
27.41.140.194
27.41.141.70
27.41.145.227
27.105.21.43
31.214.145.123
31.214.201.176
31.43.113.22
31.181.103.242
37.104.29.30
37.104.6.211
37.104.84.133
37.107.61.153
37.32.118.122
37.32.119.53
39.54.162.71
41.114.220.253
41.137.63.203
41.138.106.196
41.182.202.13
41.209.121.58
41.218.49.117
41.197.41.2
41.202.209.176
41.225.36.81
41.242.105.169
41.243.35.209
46.28.66.48
46.63.72.80
46.165.221.70
46.203.27.37
49.248.152.155
58.241.40.70
59.99.154.230
61.163.181.50
61.5.204.50
61.205.56.144
62.122.207.6
62.233.161.164
62.113.86.199
67.20.183.162
78.38.108.194
78.134.34.217
78.180.183.15
78.46.223.212
79.140.17.91
79.180.6.239
80.14.193.119
80.194.50.116
80.253.130.66
81.219.209.188
81.192.152.242
82.116.44.162
82.205.33.109
83.2.169.159
83.236.241.172
83.110.105.251
84.42.56.250
84.51.71.99
85.113.60.224
85.143.152.65
85.17.254.138
85.21.132.58
85.238.99.59
85.42.227.186
87.103.212.81
87.197.87.17
87.246.233.41
88.60.184.1
88.147.148.136
88.250.200.11
89.222.227.140
89.222.243.4
89.96.28.12
89.151.138.86
89.246.80.206
89.228.233.122
91.185.47.196
91.246.122.1
91.246.232.26
91.189.221.108
91.98.104.57
91.99.194.5
92.62.155.31
93.174.132.219
94.137.28.158
94.231.116.131
94.24.173.12
95.181.48.238
95.211.100.141
103.1.210.83
103.5.133.2
109.167.204.68
109.195.102.189
109.195.194.92
109.172.77.81
110.139.113.32
110.156.190.63
110.164.84.5
111.84.133.139
112.215.64.170
112.215.65.197
113.169.95.42
113.170.142.90
113.170.87.109
115.184.104.17
115.240.237.45
115.77.138.172
115.77.241.197
116.118.18.69
116.24.154.52
116.71.29.81
117.195.234.91
117.197.104.198
117.198.233.96
117.201.232.225
117.203.208.78
117.205.25.41
117.195.68.136
117.211.61.135
117.219.179.51
117.219.3.137
118.166.104.101
118.166.105.5
118.166.107.176
118.95.103.33
118.169.219.166
119.152.53.73
119.152.48.247
119.204.251.68
120.60.137.195
121.20.80.96
121.245.125.165
122.168.242.143
122.42.219.47
122.177.170.71
125.64.14.176
152.101.38.180
171.242.38.73
176.102.37.93
176.197.229.126
176.62.194.145
176.109.246.117
176.9.197.20
176.9.197.230
176.45.56.208
177.0.235.211
177.18.151.169
177.41.5.124
178.211.101.231
178.216.19.13
178.90.163.217
178.211.101.230
178.121.236.251
178.94.29.241
178.131.38.217
178.223.220.224
178.89.56.192
178.90.209.44
178.91.99.191
180.243.0.99
180.194.225.39
181.64.110.158
182.156.234.253
182.177.62.89
182.177.92.155
182.182.42.25
182.182.52.48
182.182.86.240
182.185.93.5
182.68.56.208
183.78.61.89
185.24.234.176
186.203.194.6
187.126.85.144
187.2.133.88
187.3.28.209
187.35.21.92
187.55.40.98
188.162.57.176
188.138.101.60
188.50.97.85
189.13.170.212
189.106.94.138
189.200.95.39
189.220.202.112
189.60.115.7
189.70.254.22
190.105.68.160
190.115.128.38
190.124.70.187
190.165.251.100
190.172.143.133
190.239.214.89
190.239.99.104
190.82.143.219
190.90.208.2
195.155.1.41
195.208.5.4
195.22.229.83
196.201.207.143
197.123.150.213
198.50.155.175
200.150.200.50
200.187.11.1
201.184.23.16
201.230.140.136
201.230.57.44
201.233.166.176
201.244.215.9
201.95.76.76
202.108.197.236
202.22.142.137
202.166.214.81
202.57.130.2
203.115.117.106
204.97.218.196
210.57.249.100
211.43.213.116
212.220.206.150
213.132.34.178
213.184.140.47
213.248.20.166
213.87.128.187
213.140.59.45
216.99.157.166
216.26.174.98
217.36.215.205
218.108.214.208
218.56.161.79
220.89.171.25
222.173.170.26

 

За ночь, и на текущий момент не одной попытки =)

[Sergun 302]

А у вас что сервер  с базами к интернету имеет доступ?

[archi 757]

у меня инет и буховский сервера отдельно ... вместе нельзя !!!