Nu este un secret faptul că o mulțime de criptori se plimbă de-a lungul rețelei, care poate transforma într-o chestiune de minute datele de pe un computer într-un dovleac. Având în vedere că sunt implicat și în administrarea viitoare, pentru mine, lacrimile oamenilor despre pierderea datelor nu erau neobișnuite. Dar este un lucru când datele sunt pierdute de mătușa condiționată Glasha de la departamentul de personal al LLC "Autopilot" condiționat și altceva în cazul în care problema vă privește. Mâinile încep să se agită, iar ouăle sunt acoperite cu mistreț.
Noaptea, unul dintre partenerii noștri 1c a fost implicat în scrierea codului prin conectarea la serverul nostru pe PDP. Până la 12 miezul nopții am primit de la el SMS-uri că a fost aruncat de pe server, iar contul pentru logare este dezactivat. A devenit clar că cineva ne-a dat probleme.
Dimineața, ajunge la locul și pentru a revigora ochii admin uchotku a aparut pictura in ulei - toate fișierele asociate cu activitatea bazei de date au fost ambalate cu atenție în fișiere RAR cu o parolă.
Ce sa întâmplat? Atacantul a obținut acces prin protocolul PNDR și a făcut lucruri în mod deliberat, cerând ispășirea prostiei noastre și a scurgerii banilor. O poveste standard care sa întâmplat deja cu cineva de la prieteni. Dar în cazul nostru a existat un DB cu un volum de 50 cu un GB mic și un magazin în joc.
Fără a gândi de două ori despre conducere, sa decis să contacteze atacatorul și să încerce să negocieze. Trebuie să dăm credit, dar la celălalt capăt ne-am așteptat și am fost gata să acceptăm argumentele noastre în moneda criptografică. Făcând înainte, voi spune că totul sa încheiat pentru noi în siguranță și că datele au fost restaurate, iar găurile sunt grăbite. Gradul de prostie a unui astfel de rezultat nu poate fi judecat, deoarece oferind 19 mii și continuați să lucrați oricum mai profitabil decât să desfășurați magazinul de la zero.
În cazul nostru, a fost selectată parola contului, care era membru al grupului Domain Admins, dar avea o parolă instabilă pentru forța bruta - 123456.
elimina vulnerabilitățile asociate cu performanța echipei REG ADD "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ ExecutionOptions Image fișier \ sethc.exe" Depanator / v / t REG_SZ / d "C: \ Windows \ system32 \ CMD.EXE"
În plus, mâinile atente ale atacatorului au eliminat complet backup-urile bazei de date stocate pe mass-media alienată, dar, din păcate, în aceeași rețea locală.
Toate acestea au condus la multe reflecții și au fost forțate să se joace după regulile spărgătorului. Găsiți-vă în locul lui un școlar sau un ticălos mai puțin aventuros, consecințele ar putea fi mult mai deplorabile.
Ei bine, cum să eliminați consecințele. Primul lucru pe router a fost redirecționarea portului pentru a se conecta la RDP de la standard, la un număr aleator de 5 cifre. Au fost șterse conturile suspecte în AD. Au fost modificate parolele pentru utilizatorii care fac parte din grupul Domain Admins. Excluse din acest grup toți cei nevrednici. Acces restricționat la bilele de rețea și partițiile discurilor cu informații despre serviciu. Am scanat toate unitățile serverului Dr. Web.
ohrenev În general dintr-o astfel de „fericire“, a decis să se gândească la o delimitare mai riguroasă a drepturilor alocate serverul terminal în DMZ, achiziționarea firewall, organizarea de conexiuni VPN.
Sper că aceste reguli evidente și simple, precum și acest exemplu amuzant, dar în același timp trist, vor servi drept o lecție și un stimulent pentru a nu lăsa astfel de lucruri nesupravegheate.
Toate găurile bune și mai puține sunt în siguranță.
Un alt motiv.
Politica de parole a fost dezactivată pentru a atribui parolele "mai simplu" doar câtorva persoane, dar nu li se permite să se conecteze la servere.
Astfel, toate conturile au fost create cu parole de opt cifre, cu numere, semne, registre diferite. Oamenii au șters, adepții au rătăcit mai ales, dar ce puteți face.
Ei bine, portul, desigur, a făcut un obicei.
Copii de rezervă ale tuturor sistemelor, imaginilor, uneori fac și stochez pe un disc amovibil.
Bacupy 1C postați o dată pe săptămână.
Nu super protecția, dar este mai bine decât deloc.
Deja plictisit până la routere pentru a configura și a trimite la ramuri, face VPN, dar totul cumva. Cum îmi pot imagina cum pot să le fac pe toți la distanță, așa de surprinzător.
Oamenii destul de departe de specialitate, voi fi rănit.
Și toate acestea sunt amânate într-un fel - am devenit procrastinată cu mine)
Și acest post, eu, unul atât de leneș, îndeamnă: cu