Ситуация вкратце такая - в одной весьма крупной конторе работает УПП, большинству юзверей права ограничены по РЛС на контрагентов, кассы, склады, так как сотрудники разных подразделений конкурируют между собой за клиентов, региональные зоны и т.п.
На сервере где установлена 1С, (этот же сервер одновременно и RDP сервер) была папка со скриптами, один из скриптов осуществлял архивацию, в нем был прописан админский пользователь базы без ограничений прав. Этого пользователя с$иZдили и с его помощью подключались ком соединением, подключения длились по несколько минут, нерегулярно.
Записи в журнале выглядят так:

Время события: 08.06.2012 8:27:40
Пользователь <Неопределен>    
Компьютер Server1C
Сеанс. Аутентификация        
Рабочий сервер Server1C        
Основной IP порт 2066    
Имя: User1C, ...
Приложение COM-соединение
Сеанс 69 557    
Вспомогательный IP порт 2066            


Из полезных данных я вижу дату и время, еще номер сеанса "69557", это сеанс на сервере 1С?
можно как нибудь сопоставить с номером RDP сеанса юзера?

Ого...дедектив с участием одинесников.
Лихо закрученный сюжет, неожиданные повороты.

скоммуниздили не 1сного админского пользователя, а скоммуниздили сначала (возможно) тектс скрипта (админ - дятел!).. ну а дальше - дело техники...

.. это я вопрос задал! сорри...

сперли просто логин пользователя, и потом своей обработкой подключались судя по всему.
у этого пользователя был пустой интерфейс, но большие права.
поэтому использовали ком соединение.

(2) понятно что скрипт открыли прочитали его текст, и вытащили оттуда логин-пароль., это же очевидно как и то что админ дятел...

сомневаюсь, что это именно пользователь сделал, т.к. слишком продвинутым надо быть для этого...
скорее всего попросил кого-нить

(6) Продвинутых пользователей не бывает?
Наверно и админ у них так думал ;)

(7) ну разве что 1снег перешел в манагеры

посадят

(0) Перестать заниматься шпиономанией ...или сменить админа

сменить пароль

(11) А его после первого подозрения не сменили? .....

Пользователя 1С урезать в правах, поменять пароль у пользователя и в скрипте, настроить виндовый аудит на папку со скриптами исмотреть кто туда лез и открывал\копировал скрипт

реальный скрипт для архивации положить в недоступное место

(0) а разве нельзя сделать бекап базы без подключения к ней? или у вас там DT по расписанию выгружаются?

(0) ТС, а ты ктотпо профессии?

оставить как есть и поставить засаду

(17)+1 прописать при входе этого пользователя что бы выдал всю инфу. с какого компа и т.д.

Я надюсь ТС уверен что это не каконибудь обмен с другой конфой под этим пользователем )

Определить круг лиц, кому это выгодно, вызывать по очереди, пальцы в дверь...я думаю большинство сознается.

> в одной весьма крупной конторе


огласите ИПП/ОГРН

ТC ушел на дно не отвечает.

(22) спит на клаве

Меня все мучает вопрос почему для бекапа БД надо логиниться в 1С

(24) судя по всему, "бэкап" был настроен через выгрузку

DT выгружаются наверно , вон как у Stim он ж так выгружал

(26) ага и теперь он получил "бесценный опыт" хД

(0) сколько народу имеет доступ к RDP? если немного, то, как вариант - насоздавать виртуалок и перевести каждого на свой сервер, потом из журнала регистрации смотреть, с какого из них админ коннектится. Если много, то проще сразу об стену зашибиться - сами себе злые буратины

Чо дергаться...Все уже украдено...Сделать более защищенный скрипт, пароли и работать дальше. Если случайно найдете "похитителя" выпишите ему премию за учебу!

вставить мелкий скрипт который будет писать в ЖР пользователя виндовс

ну и потом выгнать того кто делает бекапы средсвами 1с а не SQL

(30) если человек вытащил логин\пароль из скрипта и написал обработку с СОМ соединением, наверняка он знает 10 паролей рядовых терминальных пользователей, которые записаны стикером на мониторе, и подключается от их учетки

кротом окажется баба Глаша, которой 3 месяца до пенсии

не удивлюсь, если он пароль админа терминального сервера знает

(32) да и пофигу, зная пользователя и время виндовс легко определяется ап компа с которого реально входил, для этого есть аудит безопасности виндовс...

(32) и подключается каждый раз с чужих компов, когда пользователь выходит покурить, ага.)

(35) если-бы не терминал - то все было-бы куда проще :)

к стати для начала я-бы сделал анализ журнала безопасности виндовс на предмет входа по логину с разных компов, делается не сложно, но вероятность запалить крота сильно высока (по тому как действительно скорее всего он лазит под чужей учеткой)

(36) можно и со своего подключаться, если ничего не дописывать, то в ЖР 1С будут только записи, что ПК Server1C т.к. это терминальный сервер и пользователь 1С - баба Глаша

(39) далее заходишь в журнал винды и смотришь какой комп в реали у бабы Глаши...

а вообще нужно сделать (38)

http://de.trinixy.ru/pics5/20120608/demotivatory_09.jpg

при условии (34) хрен там что-то увидешь

"сотрудники разных подразделений конкурируют между собой за клиентов"
проблема в организации работы, но всем как обычно пофиг

Работать надо, а не шпиономанией заниматься. Для этого служба безопасности есть, у нее свои методы.

паяльнички

А если коннект идёт через ком, то там разве можно узнать сессию винды, комп и т.д.?

(43) ыыыыыыы
как жеж хорошо работать в большом сплоченном коллективе..

вы там как в коммуналке киросин в чайники и толченое стекло в сахарницы не сыпите друг другом?
а сушоный навоз в молотое кофе?

(47) порадовал)

(47) провайдер "WinNT" работает почти везде

Есть мнение, что троян с функционалом TeamViewer вполне может делать то, что написано, причём от имени того пользователя, которого нет за компом в данный момент.
Поэтому, желательно сначала промониторить все компы на предмет лишних процессов и открытых соединений, а потом уже думать, кто и куда ходит.

(47) не подсказывай!

(47) нефигасе у вас развлечения))))

(0) вообще-то для ком-соединения для полного доступа ко всем данным большие права прописывать не нужно, можно вообще даже не давать права, кроме самогго использования такого соединения

(0) 1. Мне не ясно чьи кривые руки дали доступ на папку с скриптом всем пользователям.
2. А если папка такая важная, то почему аудит на папку не повесили.

Для сравнения: у нас даже на всякие папки помойки аудит настроен и бъют пользователей , если их документы сосед-недоброжелатель перенес в другое место случайно. Про важные папки даже молчу -админы доступа не имеют (доступ есть только с самого сервера по паролю главного админа, что требуется очень редко).

Сейчас: смените пароль и настройте аудит на папку (может крот объявится и снова возьмет пароль). Закрывать дополнительно доступ на папку пока не надо.

А пока можно в журнале безопасности сервера искать даты-время входов-выходов на сервер и определять кто в момент запуска ком-соедиения был на сервере в тот момент. Может удастся определить круг пользователей. Но что так можно будет найти крота - не верю. Наверняка он ходил в рабочее время и было полно людей в базе в тот момент.

смените пароль, скрипт перепишите в EXE-шник (могу даже пример на C# скинуть). мало есть умельцев, кто декомпилирует его.

"Дятлы против крота. Продолжение"

> большинству юзверей права ограничены по РЛС на контрагентов, кассы, склады, так как сотрудники разных подразделений конкурируют между собой за клиентов, региональные зоны и т.п.

Проблему решать нужно кардинально - уволить кладовщика, работающего директором и нанять наконец директора.

(неожиданный вариант) Добросовестный юзвер приходит утром на работу, включает комп, заходит в 1С, готовит отчет для руководителя с помощью внешней обработки, что по быстрому наваял для него прогер... И не знает что идет охота на кротов :)

надо всех проверить на полиграфе пуская колятся
типа
обработка пользователей в цикле
Админ - сколько раз вы осуществляли несанкционированный доступ к базе упп
пользователь - ни разу
Админ - неправильный ответ и ломает пользователю 1 палец
пока в компании не останется ни одного пользователя с хотябы одним целым пальцем

в сеансе внешнего соединения создайте временный файлик с предопределенным именем и запишите его в каталог временных файлов
потом в профиле пользователей найдите файлик у кого в темпе он находится :)

смешная ветка. Пятничная

(55) лол, нетрефлектор не предлагать?)

(64) ага, через ком