19 October 2015

Атакуют хакеры, что же делать?

Тринити corporate blog
На прошлой неделе (октябрь 2015 года) обратился ко мне старый друг с просьбой помочь. Случилась у них катастрофа с бухгалтерией.

С компанией мы знакомы давно, с директором дружим семьями уже лет 10-ть. Года 1.5 назад они к нам обращались за помощью, но по некоторым причинам отказались от наших услуг. В результате заключили договор с компанией 1С франчайзи, которая их начала обслуживать удаленно. Компания уверяла, что все будет хорошо, до поры до времени.

Но вот, в один прекрасный момент бухгалтер не может войти, базы данных нет, а через 10 дней сдача налогового учета.

image

— Что ж ты друг сердечный (говорю я), я же предлагал тебе несколько раз наши услуги.
— Ну, так случилось, ответил он, помоги.

Некоторые детали хакерской атаки. Ваш сервер одним портом смотрит в интернет, имеет реальный IP адрес с запущенным RDP сервисом. Очевидно, атака осуществляется по подбору пароля на RDP, хотя ниже приведу пару других вариантов. Вход по удаленной сессии разрешен администратору, которому даны права на управление не только базами 1С, но и остальными ресурсами сервера. После подбора пароля хакер входит, делает архив вашей базы архиватором WinRAR. Находит резервные копии, их укладывает в отдельный архив. На оба архива устанавливает пароль от 10-ти символов. Базы 1С и архивные копии удаляет eraser-ом. Создает текстовый файл с названием ВАЖНО!!! следующего содержания:

image

«Внимание! Ваши базы данных заархивированы с паролем, использование их невозможно. Для получения пароля к архиву от вас требуется оплата 18000р на Яндекс деньги.

При согласии напишите на почту rob1111stewar@hotmail.com, указав в обращении IP адрес вашего сервера (внешний, его можно узнать, открыв сайт 2ip.ru)
IP адрес необходим для выдачи вам вашего персонального пароля от архивов».

Результат: вы вынуждены платить хакеру, поскольку получить доступ к вашей базе невозможно. Расшифровка архива прямым перебором пароля займет очень долгое время.

Хакер оказался на удивление добр, после платежа выдал пароль и рекомендации по устранению проблем безопасности.

Вроде бы история закончена, но приведу возможные способы атак и варианты защиты от них:

1. Вариант прямого подбора пароля на доступ по RDP.
2. Вариант вирусной атаки с запуском программы управления сервера для взлома пароля.
3. Вариант диверсии со стороны обслуживающего персонала.

Третий вариант мы разбирать не будем, поскольку защиты от него не существует. Доверяя обслуживать ваши данные, вы всегда рискуете. Второй вариант можно обойти, если у вас на сервере установлен обновляемый антивирус. С этим также все достаточно просто. Остановимся на первом варианте и способах защиты.

image

1. Необходимо полностью исключить прямое подключение вашего сервера к сети. Если вам необходимо предоставить доступ извне, установите наружу межсетевой экран. В качестве примера можно привести не дорогой D-Link DFL-210/260. С его помощью вы заблокируете любые попытка скана и ненужные открытые порты в вашу сеть. Доступ к этому экрану внутри вашей сети должен быть ограничен.
2. Сервис RDP лучше всего перенаправить на порт, отличный от дефолтного.
3. Пароль на учетную запись, которая имеет право удаленного доступа, должен состоять из бессмысленного набора букв и цифр. Длина пароля должна быть не менее 10-ти символов.
4. На сервере установите ограничение на подбор пароля. Скажем после 5-ти попыток блокировка аккаунта на 10-15-30 минут.
5. Доступ администраторским аккаунтам извне заблокируйте, выделив отдельную учетную запись для ваших нужд.
6. Резервные копии должны быть доступны только администратору или пользователю резервного копирования. Права на папки к файлам резервного копирования также должны быть максимально ограничены.
7. Самый правильный вариант, раз в неделю делать резервные копии на переносной носитель. Подойдет ноутбук директора, бухгалтера.

Конечно, от всех типов хакерских и прочих атак полностью защититься невозможно. Но максимально усложнить жизнь хакеру вполне по силам. С вероятностью 90%, столкнувшись с таким сервером, хакер не будет тратить время на вас, а найдет жертву попроще.

От автора:
Коллеги, статья не является рекламой 1С или того хакера с именем Роб Стюарт. Это история из реальной жизни произошла неделю назад. Ориентирована она на простых смертных и самых начинающих администраторов.

Кроме того, автор статьи в курсе самых разных способов защиты, включая переброс порта RDP. Но он, то есть я, специально не стал акцентировать внимание на этом. Поскольку считаю, что перечисленных методов вполне достаточно для защиты.

П.С. Из не рассмотренных вариантов защиты — виртуализация. Разделить основную базу, доступ для обновлений, резервные копии, использование специализированного ПО. Ну и так далее, :).
Tags:Хакерыатакитринитиtrinity
Hubs: Тринити corporate blog
-16
21.3k 39
Comments 15
Top of the last 24 hours