Вход | Регистрация
 
1С:Предприятие :: Администрирование

шифровальщики достали

шифровальщики достали
Я
   Kalina
 
10.12.18 - 11:56
Здравствуйте
подключаются клиенты по RDP к терминальному серверу
второй раз за месяц приходит шифровальщик, ну и т.д.
антивирус не реагирует (Avast), у пользователей нет админских прав,
порты изменены, защита от подбора паролей включена (при неправильном логине запрет на 30 мин реконнекта)
в чем может быть проблема и как от нее избавиться
Буду признателен за подробный разжеваный ответ :)
 
 
   shadow_sw
 
1 - 10.12.18 - 11:57
KIS
   CepeLLlka
 
2 - 10.12.18 - 11:58
(0)Закрыть доступ из вне..
А если необходимо, то юзать VPN
   CepeLLlka
 
3 - 10.12.18 - 11:58
Или извне? :)
   Ёпрст
 
4 - 10.12.18 - 11:58
(0)
на терминале поди, есть доступ к почте, вэбсайтам ?
   Ёпрст
 
5 - 10.12.18 - 11:59
+ еще и поди, диски клиента примапливаются ?
   elCust
 
6 - 10.12.18 - 12:03
(0) Проверьте всех пользователей RDP. Возможно какой то пользователь без пароля (Какой нибудь тестовый). По нему и ходят. Часто у жмотских на админа контор именно это было причиной.
   МихаилМ
 
7 - 10.12.18 - 12:04
модераторы, перенесите тему в админ
   Попытка1С
 
8 - 10.12.18 - 12:08
(6) пользователь без пароля не сможет зайти по RDP.
   elCust
 
9 - 10.12.18 - 12:12
(8) Еще как сможет. Если в политике правило настроено.
   Kalina
 
10 - 10.12.18 - 12:14
(4) браузеров нет, IE снесен, почта только на отправку из 1с
 
 Рекламное место пустует
   Василий Алибабаевич
 
11 - 10.12.18 - 12:15
(0) Все здесь : "подключаются клиенты по RDP к терминальному серверу".
Не нужно РДП выставлять наружу. Если без этого совсем никак - см. (2).
   eklmn
 
12 - 10.12.18 - 12:16
"второй раз за месяц приходит шифровальщик"
откуда приходит?
   Василий Алибабаевич
 
13 - 10.12.18 - 12:18
+ (11) Как временная мера "длянасейчас" - всем изменить пароли. Перед этим включить политику "требовать безопасный" или что-то в этом духе.
   Ёпрст
 
14 - 10.12.18 - 12:18
(10) диски маппятся ?
   Kalina
 
15 - 10.12.18 - 12:18
(12) мне вот тоже интересно, откуда он приходит
и как сделать чтобы он не приходил
   Kalina
 
16 - 10.12.18 - 12:18
(14) буфер обмена
   Ёпрст
 
17 - 10.12.18 - 12:19
На рдп с рабочим столом юзвери заходят ? Поди, мс оффис еще есть ?
   Василий Алибабаевич
 
18 - 10.12.18 - 12:21
(14) Сейчас оно уже не обязательно. Сейчас шифровальщики умеют доставать UNC. И проверять к ним права. Мапить необязательно.
   Kalina
 
19 - 10.12.18 - 12:22
вопрос собственно - подобрали пароль ? если да то как ?
пользователи занесли ? если да то как ?
пролез каким-то образом сам (встроеные службы и т.п.) ?
подбор пароля исключаю (вероятность -> 0)
остается раздолбайство пользователей ?
ну что еще ?
   eklmn
 
20 - 10.12.18 - 12:26
(19) то что у тебя в систему уже сидит троян, давно и качает шифровальщика переодически.
   eklmn
 
21 - 10.12.18 - 12:27
безопасность недешевое удовольствие...
   eklmn
 
22 - 10.12.18 - 12:27
если win2008 - пиши пропало
   Garykom
 
23 - 10.12.18 - 12:28
Аваст говно, хуже только нод.
Ставь касперского или симантек и проверяй спец утилитами от троянов руткитов
   zak555
 
24 - 10.12.18 - 12:28
белый список действий только поможет
антивирус удалить
   1c-kind
 
25 - 10.12.18 - 12:28
Думаю RDP тут не причем. В (20) все правильно написали.
   Василий Алибабаевич
 
26 - 10.12.18 - 12:31
(19) Посмотри чьи файлы зашифрованы. То что я видел - шифруют файлы в папках с полном доступом для группы "Пользователи". И файлы того пользователя под учеткой которого отработал.
Вот такой примерно расклад защитил файлы с доступом "для всех"
"Папка Общие" (доступ только админу. Он же владелец)
  "Папка Пользователя 1" (доступ только Пользователю 1)
  "Папка Пользователя 2" (доступ только Пользователю 2)
  ...
  "Папка Всем" (доступ группе "Пользователи")
Обычного доступа к папке "Папка Всем" не получается. В смысле через "Компьютер"-"Диск Д"-... И файлы остались не шифрованными.
А вот папки у которых доступ для группы "Пользователи" от корня те пошифровались.
   Kalina
 
27 - 10.12.18 - 12:32
(20) нет, система переинсталена после "первого прихода" с нуля
грешу еще на компы пользователей, но после массовой проверки
двумя антивирусами (Avast) + (DrWeb) ничего нет, да и пользовательские компы все целы 
(21) переведи - что нужно купить и куда поставить
(22) а что не "пиши пропало" ?
   Kalina
 
28 - 10.12.18 - 12:34
(26) такое чувство что он находит первую учетку с админскими правами - прибивает ее и уже от нее работает
как он это делает х.з.
   Василий Алибабаевич
 
29 - 10.12.18 - 12:40
(28)
1. Отключи учетку "Администратор", "Administrstor", "Admin"...
2. Заведи админу отдельную учетку .
3. Поменяй админам пароли.
4. Не работай под админскими учетками сам и не давай никому.
5. Проверь права учетки USER1S.
6. Проверь из-под кого запускается агент сервера 1с. Очень часто из-за неумения настроить всякие разные приблуды ему дают запускаться из=под системной учетки.
   Василий Алибабаевич
 
30 - 10.12.18 - 12:43
(28) "он находит первую учетку с админскими правами"
Не находит. Кто-то с такими правами работает. И собственноручно запускает "запускателя". "Запускатель" это еще не сам шифровальщик. И не делает запрещенных или опасных действий. Оно проверяет свои права и если может создает себе админскую учетку. В профиль "своей" учетки прописывает уже запуск собственно шифровальщика.
   Kigo_Kigo
 
31 - 10.12.18 - 12:48
У клиента, 4- раз пролезал шифровальщик, систему каждый раз ставили с нуля, проверка клиентов, их не много, ничего не находили, порт меняли, не помогло, помогло - смена внешнего IP адреса, походу когда один раз комп попадает, ip пишется в базу и потом идут атаки всякими разными способами
   eklmn
 
32 - 10.12.18 - 12:49
(31) атаки идут всегда, на любой IP
   Василий Алибабаевич
 
33 - 10.12.18 - 12:50
+(30) Естественно отправляя логи всех своих действий и окружения (IP, имя, пароль...) на сайт роботу. Робот уже потом зайдет с новой учеткой. И выполнится команда шифрования.

Кстати смена "обычного" порта РДП 3389 на другой уже давно не дает никакого результата. Робот пробивает все возможные порты на общедоступном ресурсе и ждет ответ. Шаблон ответа службы РДП ему известен. На каком порту ему отзовутся шаблоном тот и используется для дальнейших атак. Не проверял. Но думаю в течении получаса порт РДП вполне можно определить.
 
 
   Kigo_Kigo
 
34 - 10.12.18 - 12:52
(32) Значит МАС адрес?
   Василий Алибабаевич
 
35 - 10.12.18 - 12:54
В общем вывод такой. Сделан спецами уже давно. Доступ по РДП - зло. Будет взломан всегда. Меняется только количество потраченного времени.
   Kalina
 
36 - 10.12.18 - 12:56
(34) вот я и думаю поставить бы фильтр по MAC, но нашел это только у WiFi подключения, у WAN - нет
(35) ну а как работать по удаленке ? Web ?
(33) кроме порта ведь надо еще логин - пароль подобрать ?
   Kigo_Kigo
 
37 - 10.12.18 - 12:56
(31) + поменяли по случаю и роутер, атаки прекратились, гдето читал что на d-link и tp-link эту гадость можно в прошивку загнать, но это не точно
   Kigo_Kigo
 
38 - 10.12.18 - 12:58
(36) используют уязвимости системы, а не подбирают пароль к админу
   Kalina
 
39 - 10.12.18 - 13:01
(38) но ведь работают же все как-то, иначе бы это повсеместно было, а то у нас полгорода на РДП, а проблемы только у нас, обидно даже как-то
   Kigo_Kigo
 
40 - 10.12.18 - 13:04
(39) Меняйте роутер, ip, порт, ну и выше уже написали, моему клиенту только это помогло (я там не админ, просто программист)
   Kalina
 
41 - 10.12.18 - 13:15
(40) Сделано
   Dzenn
 
42 - 10.12.18 - 13:17
Переходить на Linux уже предлагали?
   Serg_1960
 
43 - 10.12.18 - 13:24
Принудительно поменять пароли клиентам уже предлагали?
   Ник080808
 
44 - 10.12.18 - 13:31
(0) у нас подхватили от пользователя с паролем в стиле 123. Ставь всем 10 значные сложные пароли и выдавай сам пароли.
   Serg_1960
 
45 - 10.12.18 - 13:40
+(44) и запретить изменять пароли - глазом не успеешь моргнуть, как опять пароли "123" себе понаустанавливают.
   NorthWind
 
46 - 10.12.18 - 13:43
(0) VPN рассмотрите. И периодически либо переиздавайте сертификаты, либо меняйте pre-shared key.
   NorthWind
 
47 - 10.12.18 - 13:49
(39) значит, вы что-то делаете не так. Либо политика паролей плохая (меняют на простой), либо сервер устаревший, либо другие админы используют VPN.
   Kalina
 
48 - 10.12.18 - 14:16
(42) как на линуксе реализовать РДП + 1с ?
при утере-краже-подборе паролей чем спаcет Линух
я так понимаю нужно копать в сторону VPN ?
а аутентификацию пользователей на уровне шлюза-firewall только по IP или  может ...
(45) как они могут поменять пароли на RDP юзерах ???
   Ник080808
 
49 - 10.12.18 - 14:22
(47) "либо сервер устаревший" - кстати да. Какой сервер и как часто обновляется?
 
 Рекламное место пустует
   Salimbek
 
50 - 10.12.18 - 14:54
(0) Есть такая старая технология, называется port-kocking. Если кратко, то ставишь файрвол, который блокирует доступ всем на РДП. И только если придут подряд пакеты с одного ИП-адреса на определенные порты (например 2227, 33560, 7032) , то этому ИП предоставляется временный доступ к РДП. Все остальные идут лесом. Единственное неудобство - это то, что перед входом на РДП надо запускать knocker, который и откроет доступ.
   Kalina
 
51 - 10.12.18 - 14:58
(50) а модельку маршрутизатора ? или это программный ?
   NorthWind
 
52 - 10.12.18 - 15:36
(51) если немного погуглить, то можно найти как это сделать на микротике...
   Сияющий в темноте
 
53 - 11.12.18 - 00:50
это приложение на сервак,которое правила firewall переключает.
можно пользователя еще просить на веб-страницу зайти,где он пароль рдп получает,каждый раз новый.
   Попытка1С
 
54 - 11.12.18 - 00:55
(9) Это надо быть совсем больным на голову чтобы это включать специально.
   vcv
 
55 - 11.12.18 - 05:56
(35) "В общем вывод такой. Сделан спецами уже давно. Доступ по РДП - зло. Будет взломан всегда."
А мужики-то не знают!
Взломать можно всё. Главное, обеспечить достаточно сложный взлом, что бы он не окупился.
У меня уже лет десять несколько городов и куча мобильных пользователей ходит на RDP. RDP спрятан за VPN с хорошим длинным паролем, на виндовом сервере настроен белый список приложений, которые можно запустить, на брандмауэре настроен белый список сайтов, на которые можно из RDP выйти. Проблем нет.
   Kalina
 
56 - 11.12.18 - 11:29
а если веб сервер поднять ?
почему многие на РДП сидят если это так плохо ?
   1c-kind
 
57 - 11.12.18 - 11:30
(56) Ваши конфигурации на 100% обеспечивают функционал через веб ??
   mgk2
 
58 - 11.12.18 - 11:33
(56) если конфы на УФ - поднимай веб сервер.
   NorthWind
 
59 - 11.12.18 - 11:53
(56) Обычные формы через веб не ходят, поэтому для УТ10 и УПП не вариант. А оно еще много где...
   Garykom
 
60 - 11.12.18 - 12:15
(48) >как на линуксе реализовать РДП + 1с ?

1С давным давно под линукс работает, RDP через xrdp
https://habr.com/post/325132/
   Garykom
 
61 - 11.12.18 - 12:17
(60)+ Я кстати rdp на линуксе настраивал в тестовых целях, оно вполне работает со своими особенностями типа штрифтов и прочего.
Чуть дольше вход (но у меня машинка под сервер была говно) для клиентов, затем в работе тормозов нет, стандартный виндовый клиент.
   Kalina
 
62 - 11.12.18 - 12:21
(61) при краже - утере паролей пользователями (от RDP) он ломается ?
или там настраивается защита от кривых действий пользователей ?
а с удаленными принтерами нет проблем?
а то я пока через EasyPrint не настроил - забодался диспетчер печати перезапускать
   Василий Алибабаевич
 
63 - 11.12.18 - 12:24
(55) Это теперь так модно? Дать простор тараканам в своей голове и свалить на чужую?
Речь шла о непосредственном доступе по РДП из инета. В случае доступа поверх ВПН сам РДП в инет не смотрит.
Я конечно понимаю, что некоторым нужно разжевать до последней запятой. Но не думал, что настолько. (
   Garykom
 
64 - 11.12.18 - 12:34
(62) С пробросом принтеров и оборудования это отдельный вопрос с rdp на линуксе ))

С принтерами обычно не заморачаваются и либо через pdf-ки (которые "печатаются" на сервере и пересылаются куда нуна) или через VPN и сетевой принтер, они под линуксом прекрасно расшариваются/подключаются.

По пробросу портов для сканеров и прочего ТО тоже есть решения.
   Злопчинский
 
65 - 11.12.18 - 12:45
и, это.. насчет ВПН... чем плох штатный виндявый ВПН, что ставят всякие другие..?
   mutota
 
66 - 11.12.18 - 12:55
вот жеж вы жмоты - нет чтобы платить вымогателям в биткоинах и тем самым поддерживать его курс на должном уровне - вы придумываете все новые и новые способы борьбы с ними ...
   Kalina
 
67 - 11.12.18 - 15:08
(65) отличная штука, вопрос как ей не дать угробить сервер терминалов
   Kalina
 
68 - 11.12.18 - 15:09
(65) извиняюсь, с РДП попутал :)
   NorthWind
 
69 - 11.12.18 - 15:44
(65) ну, во-первых, поточное шифрование трафика чем-то вроде AES256 это на проц нагрузка. И при хорошем трафике довольно нехилая. Лучше на это отдельную железку с аппаратной поддержкой такового. Во-вторых, настройка IPSec на винде штука довольно эротичная. Не всем нравится. А PPTP, который более приятен в настройке, морально совсем стар и не особо взломостоек.
   NorthWind
 
70 - 11.12.18 - 15:45
поэтому если нет спецжелезки, то чаще всего клоны OpenVPN предпочитают нежели чем стандартное
   NorthWind
 
71 - 11.12.18 - 15:47
но проще всего взять Mikrotik и не париться. L2TP+IPSec настраивается там достаточно легко и решает процентов 95 возникающих вопросов небольшой конторы.
   Злопчинский
 
72 - 11.12.18 - 16:10
(71) спсб
   Kashey
 
73 - 11.12.18 - 16:39
(49) +1 Обновы актуальные на сервере установлены? Возможно используются эксплоиты


Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Рекламное место пустует