На прошлой неделе (октябрь 2015 года) обратился ко мне старый друг с просьбой помочь. Случилась у них катастрофа с бухгалтерией.

С компанией мы знакомы давно, с директором дружим семьями уже лет 10-ть. Года 1.5 назад они к нам обращались за помощью, но по некоторым причинам отказались от наших услуг. В результате заключили договор с компанией 1С франчайзи, которая их начала обслуживать удаленно. Компания уверяла, что все будет хорошо, до поры до времени.

Но вот, в один прекрасный момент бухгалтер не может войти, базы данных нет, а через 10 дней сдача налогового учета.

image

— Что ж ты друг сердечный (говорю я), я же предлагал тебе несколько раз наши услуги.
— Ну, так случилось, ответил он, помоги.

Некоторые детали хакерской атаки. Ваш сервер одним портом смотрит в интернет, имеет реальный IP адрес с запущенным RDP сервисом. Очевидно, атака осуществляется по подбору пароля на RDP, хотя ниже приведу пару других вариантов. Вход по удаленной сессии разрешен администратору, которому даны права на управление не только базами 1С, но и остальными ресурсами сервера. После подбора пароля хакер входит, делает архив вашей базы архиватором WinRAR. Находит резервные копии, их укладывает в отдельный архив. На оба архива устанавливает пароль от 10-ти символов. Базы 1С и архивные копии удаляет eraser-ом. Создает текстовый файл с названием ВАЖНО!!! следующего содержания:

image

«Внимание! Ваши базы данных заархивированы с паролем, использование их невозможно. Для получения пароля к архиву от вас требуется оплата 18000р на Яндекс деньги.

При согласии напишите на почту rob1111stewar@hotmail.com, указав в обращении IP адрес вашего сервера (внешний, его можно узнать, открыв сайт 2ip.ru)
IP адрес необходим для выдачи вам вашего персонального пароля от архивов».

Результат: вы вынуждены платить хакеру, поскольку получить доступ к вашей базе невозможно. Расшифровка архива прямым перебором пароля займет очень долгое время.

Хакер оказался на удивление добр, после платежа выдал пароль и рекомендации по устранению проблем безопасности.

Вроде бы история закончена, но приведу возможные способы атак и варианты защиты от них:

1. Вариант прямого подбора пароля на доступ по RDP.
2. Вариант вирусной атаки с запуском программы управления сервера для взлома пароля.
3. Вариант диверсии со стороны обслуживающего персонала.

Третий вариант мы разбирать не будем, поскольку защиты от него не существует. Доверяя обслуживать ваши данные, вы всегда рискуете. Второй вариант можно обойти, если у вас на сервере установлен обновляемый антивирус. С этим также все достаточно просто. Остановимся на первом варианте и способах защиты.

image

1. Необходимо полностью исключить прямое подключение вашего сервера к сети. Если вам необходимо предоставить доступ извне, установите наружу межсетевой экран. В качестве примера можно привести не дорогой D-Link DFL-210/260. С его помощью вы заблокируете любые попытка скана и ненужные открытые порты в вашу сеть. Доступ к этому экрану внутри вашей сети должен быть ограничен.
2. Сервис RDP лучше всего перенаправить на порт, отличный от дефолтного.
3. Пароль на учетную запись, которая имеет право удаленного доступа, должен состоять из бессмысленного набора букв и цифр. Длина пароля должна быть не менее 10-ти символов.
4. На сервере установите ограничение на подбор пароля. Скажем после 5-ти попыток блокировка аккаунта на 10-15-30 минут.
5. Доступ администраторским аккаунтам извне заблокируйте, выделив отдельную учетную запись для ваших нужд.
6. Резервные копии должны быть доступны только администратору или пользователю резервного копирования. Права на папки к файлам резервного копирования также должны быть максимально ограничены.
7. Самый правильный вариант, раз в неделю делать резервные копии на переносной носитель. Подойдет ноутбук директора, бухгалтера.

Конечно, от всех типов хакерских и прочих атак полностью защититься невозможно. Но максимально усложнить жизнь хакеру вполне по силам. С вероятностью 90%, столкнувшись с таким сервером, хакер не будет тратить время на вас, а найдет жертву попроще.

От автора:
Коллеги, статья не является рекламой 1С или того хакера с именем Роб Стюарт. Это история из реальной жизни произошла неделю назад. Ориентирована она на простых смертных и самых начинающих администраторов.

Кроме того, автор статьи в курсе самых разных способов защиты, включая переброс порта RDP. Но он, то есть я, специально не стал акцентировать внимание на этом. Поскольку считаю, что перечисленных методов вполне достаточно для защиты.

П.С. Из не рассмотренных вариантов защиты — виртуализация. Разделить основную базу, доступ для обновлений, резервные копии, использование специализированного ПО. Ну и так далее, :).

Комментарии (14)


  1. artsnz
    19.10.2015 14:22
    +15

    О чем статья? О том как заплатили злоумышленнику за свои данные?


    1. lostpassword
      19.10.2015 15:06
      +11

      Я, например, узнал из статьи, что не все хакеры плохие — есть и хорошие, которым можно переводить деньги и отправлять СМС.


    1. jrip
      19.10.2015 18:34

      Может быть это реклама 1с? :D


      1. onegreyonewhite
        20.10.2015 02:38

        Может это реклама хакера?
        «Заплати налоги хакеру и спи спокойно жди следующей атаки.»


  1. DanXai
    19.10.2015 14:34
    +5

    Не указали самый главный пункт — разрешить подключение к RDP только с нужных IP.


    1. aik
      19.10.2015 15:30
      +1

      Это не всегда хорошо, IP имеют свойство меняться.

      Правильней включить поддержку RDP over TLS, максимальный уровень шифрования и перевесить RDP на нестандартный порт.


      1. lubezniy
        20.10.2015 15:15

        Для меняющихся, как вариант (если в офисе вместо роутера для инета используется линуксовый сервер), можно поставить скрипт открытия порта на заданное время для такого-то ip по http-запросу на некую страницу с паролем.


      1. MasMaX
        21.10.2015 11:02

        Есть еще RDP через SSH. В таком случае перед взломом RDP надо хакнуть SSH.


    1. realscorp
      20.10.2015 09:16

      Тащем-та в любом случае нужно исключить возможность брутфорса. Включить соответствующую политику безопасности и настроить уведомления о ее срабатывании.


  1. ketrin7
    19.10.2015 15:29
    +1

    Из опыта работы с бухгалтерами и 1С — это связка страшная для безопасности сети :)


  1. Sild
    19.10.2015 17:04
    +5

    «Атакуют хакеры, что же делать?»

    Строго следовать инструкции вымогателя, выходит?


  1. WebMonet
    19.10.2015 17:09

    Эту статью надо повесить не на хабре, а на всяких бухгалтерских сайтах, где тусуются теточки-бухгалтерши. Они же все уверены в том, что "… Да каму нада нас взламываать-тоо? Чтоо ты нас пугаааешь?..."
    И поэтому настройки доступа и пароли хранят у себя во вконтактиках.


  1. kolu4iy
    19.10.2015 18:03

    Специально для вас, мой друг, microsoft наконец-то придумал terminal gateway. Если не полениться, почитать документацию, и настроить всё как положено (с использованием сертификатов), а не высовывать rdp голой опой в интернет, то вероятность подобных взломов внезапно уменьшится.


  1. ibKpoxa
    19.10.2015 18:10
    +3

    А использовать VPN это чем не вариант?