私たちは長い間会社を知っており、私たちは今10年間家族と友達です。 約1。5年前、彼らは私たちに助けを求めましたが、何らかの理由で私たちのサービスを拒否しました。 その結果、1Cフランチャイジーとの契約が締結され、1Cフランチャイジーがリモートでサービスを開始しました。 同社は当分の間、すべてがうまくいくことを保証した。
しかし、今、ある瞬間、会計士は入ることができず、データベースはなく、10日後に税務会計が完了します。
-さて、あなたは心からの友人です(私は言います)が、私たちのサービスを何回か提供しました。
「まあ、それは起こった」と彼は答えた。
ハッカー攻撃の詳細。 サーバーは、1つのポートでインターネットを調べ、RDPサービスが実行されている実際のIPアドレスを持っています。 明らかに、攻撃はRDPのパスワードを選択することによって実行されますが、以下にいくつかの他のオプションを示します。 リモートセッションへのログオンは、管理者に許可されています。管理者には、1Cデータベースだけでなく、他のサーバーリソースも管理する権利が与えられています。 パスワードを選択した後、ハッカーは入力し、データベースのアーカイブをWinRARアーカイバにします。 バックアップを見つけて、別のアーカイブに入れます。 両方のアーカイブで、10文字のパスワードを設定します。 データベース1Cとアーカイブコピーは、消しゴムによって削除されます。 重要という名前のテキストファイルを作成します!!! 次のコンテンツ:
「注意! データベースはパスワードでアーカイブされているため、使用できません。 アーカイブのパスワードを受け取るには、Yandexのお金で18000rを支払う必要があります。
同意する場合は、rob1111stewar @ hotmail.comに書き込み、アドレス内のサーバーのIPアドレスを示します(外部、2ip.ru Webサイトを開いて見つけることができます)。
アーカイブから個人パスワードを提供するには、IPアドレスが必要です。
結果:データベースにアクセスできないため、ハッカーに支払いを強いられます。 パスワードの直接列挙によるアーカイブの復号化には非常に長い時間がかかります。
ハッカーは、支払い後にパスワードとセキュリティ問題を修正するための推奨事項を発行した後、驚くほど親切であることが判明しました。
話は終わったようですが、攻撃の可能な方法とそれらから保護するためのオプションを示します。
1. RDP経由でアクセスするための直接パスワード選択のオプション。
2.パスワードをクラックするためのサーバー管理プログラムの起動を伴うウイルス攻撃の変形。
3.スタッフによる妨害のオプション。
3番目のオプションは保護されていないため、分析しません。 データの提供を委託することは、常にリスクを負います。 サーバーに更新されたウイルス対策ソフトウェアがインストールされている場合、2番目のオプションは回避できます。 これにより、すべてが非常に簡単になります。 最初のオプションと保護方法について説明します。
1.サーバーのネットワークへの直接接続を完全に除外する必要があります。 外部アクセスを提供する必要がある場合は、ファイアウォールを外部にインストールします。 例は、高価なD-Link DFL-210 / 260です。 これを使用すると、スキャンしようとする試みと、ネットワーク上の不要な開いているポートをブロックできます。 ネットワーク内のこの画面へのアクセスは制限する必要があります。
2. RDPサービスは、デフォルト以外のポートに最適にリダイレクトされます。
3.リモートアクセスの権利を持つアカウントのパスワードは、意味のない文字と数字のセットで構成する必要があります。 パスワードは10文字以上である必要があります。
4.サーバーで、パスワードの選択に制限を設定します。 5回試行した後、アカウントを10〜15分間ロックアウトするとします。
5.必要に応じて別のアカウントを選択することにより、外部からの管理者アカウントへのアクセスがブロックされます。
6.バックアップは、バックアップの管理者またはユーザーのみが使用できるようにする必要があります。 バックアップファイルのフォルダ権限も可能な限り制限する必要があります。
7.最も正しいオプションは、週に1回ポータブルメディアにバックアップを作成することです。 適切なラップトップディレクター、会計士。
もちろん、あらゆる種類のハッカーやその他の攻撃から完全に防御することは不可能です。 しかし、可能な限りハッカーの生活を複雑にするため。 90%の確率で、そのようなサーバーに遭遇した場合、ハッカーはあなたに時間を浪費しませんが、被害者を見つけやすくします。
著者から:
同僚、この記事は1Cの広告でも、ロブスチュワートというハッカーの広告でもありません。 この実話は一週間前に起こりました。 単なる人間と最も初心者の管理者に焦点を当てています。
さらに、この記事の著者は、RDPポートの転送など、さまざまな保護方法を知っています。 しかし、彼、つまり私はこれに特に焦点を合わせていませんでした。 私はこれらの方法が保護に十分であると信じているので。
追伸 考慮されていない保護オプションのうち、仮想化。 メインベース、アップデートへのアクセス、バックアップ、専用ソフトウェアの使用を分割します。 まあなど:)。