Ситуация следующая
1С  предприятие 8.1 не типовая конфа
утром зашли в терминале -все ОК
Сейчас один терминал все еще работает.
В каталоге базы текстовый файл с текстом о том, что базу скачали и
емаил
больше ничего...
можно как то из запущеной базы сделать копию базы данных ( не из конфигуратора,  а из обычной базы????)

база перестала бы работать...

интересная задача

жесть)))

из предприятия ты можешь только данные перенести и то это не быстрая процедура.

темы нормально называй

5 лет на форуме и такой тупой заголовок

ВыгрузкаЗагрузкаДанныхXML спасет. При начилии более-менее адекватной копии

да как она раьботает без файлов? не залазят базы в память... в кэше может кусок лежит какой-то, но при попытке доступа к другим данным ляжет ИМХО

(3) Гениально. Базы нет, от куда он тебе данные перенесет?

Истерика какая-то. Что хочет ТС, хрен знает.

(7) +1

имхо пишите письмо...

кстати, какая цена вопроса? может и не слишком высокая цена за урок

Может поставили атрибут "Невидимый"?
А то удаление базы подпадает под уголовную статью.

(11) +1 авось ответят..

(0) может быть все файлы сделали невидимыми?
База вылетела бы, если ее кто то удалил бы.

если все же база каким-то чудом работает( что наврятли), то выгрузка/загрузка данных xml, выгружаете все за текущий день, восстанавливаете базу из бэкапа, загружаете выгруженные данные за текущий день

http://www.zakonrf.info/uk/272/

татья 272. Неправомерный доступ к компьютерной информации
[Уголовный кодекс РФ] [Глава 28] [Статья 272]

1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, -

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

скаждым днем все чуднее и чуднее

(13) это известный способ зарабатывания, найдёшь вредителя - тогда и предъявляй. % раскрытия крайне низок

(19) Ловят в момент получения меченых денег

(20)метят мочой директора?

(20) особенно для яндекс денег

(28) ты думаешь наличкой?)) биткойны и прочая лабудень, не отследить, если умные конечно

(23)>(20)

(0)  а что бекапа нету?

(20) в момент перевода по вебмани?

(21) Порошком
(23) Тут люди атрибут файла "Скрытый" не могут убрать, какой биткойн.

(0) емайл в сутдию кстати

невидимых не нашел...
вот и я думаю, как она работает в терминале, когда самой базы нет???
где она может ее хранить???

[email protected]

(29) ты сначала на наши вопросы ответь

(29) смотри в сторону (6),, выгрузи пару справочников

>В каталоге базы текстовый файл с текстом о том, что базу скачали и
емаил

проверьте серверную... вдруг так куча под дверью с воткнутой визиткой...

1. есть ли бекап
2. все ли операции и отчеты доступны в том единственном сеансе
3. сколько просят

ящик свеженький...

с терминала и выгрузи и потом разбирайся

Сколько просят - еще не знаю.
Операции вроде все доступны,
справочники открывает, записывает элементы.

бэкап есть, старый

(37) на сколько старый?

Не запускает конфигуратор, чтобы с терминала выгрузить

пол года

(37) значит не спёрли базу, хитро скрыли, выгружай спокойно

сколько весит база? запускал ВыгрузкаЗагрузкаДанныхXML?

http://forum.kaspersky.com/index.php?showtopic=291093

что говорит 1С при попытке запустить?

Переименовали каталог базы под работающими юзерами? поищите файлы, похожие на файлы БД

среда маленькая пятница чо

(37) А чё не бэкапите?

Выгруз ку загрузку не запускал, весит гдето 3 гига

начальный образ создай!)

(37) Фантастика.... Может тупо в другом каталоге база?

кстати да, планы обмена полный..

(47) бэкапы для трусов

пишет что не типовая, не факт что там план обмена полный есть

пошел пробовать план обмена...

(43) нет решения....

что говорит 1С при попытке запустить???

(56) вероятно ключ защиты не найден

(0) выставлять счет, чтобы поиск базы начался ?

(57) приходит в серверную, а там в usb порту записка))

да что за шняга вообще? что нельзя посмотреть кто логинился в терминал в это время, у кого доступ в папку, да и вообще, что она в шаре лежала что ли?

(59) серверная как проходная

(60) о чем речь... бекапов нет, а ты про логи, доступы...

интересно в какой это конторе произошло в Ставрополе?

(0) если справочники открываются и данные заносятся, значит они куда-то в файл записываются (база же файловая). Так что ищи этот файл на диске.

Поддержу (50).
На терминале, где база работает - смотрите, какой каталог и где.

(0) в Сервис-Табло

в поле Выражение напиши:

СтрокаСоединенияИнформационнойБазы()

че пишет? скопируй сюда результат

(49) ну ты мозг!

из СП:

Глобальный контекст (Global context)
СтрокаСоединенияИнформационнойБазы (InfoBaseConnectionString)
Синтаксис:

СтрокаСоединенияИнформационнойБазы()
Возвращаемое значение:

Тип: Строка.

Описание:

Возвращает Строка соединения информационной базы, которую, например, можно использовать для запуска 1С:Предприятия средствами встроенного языка в Automation, Менеджер COM-соединений. Пример результата метода: File="C:\1cv8\Base".

Доступность:

Тонкий клиент, веб-клиент, сервер, толстый клиент, внешнее соединение.

вот там и ищи где напишет))

ждем

Так.
1. бэкапы есть, но желательно восстановить данные именно те которые были сегодня уторм, так как восстановить работу за 5 дней - тоже проблематично.

2.Серверная не проходная - ломанули через интернет

Пока база запущена - пытаюсь скопировать файл базы данных - почемуто папка скрыта, но файл вроде нашел.

паника у меня потому, что неожиданно както все это произошле

(70) ну и бардак у вас в серверной))

(66) можно просто "?" (О программе) нажать вверху

Нетерпеливые какие хацкеры. Ну подождали бы пока все из базы выйдут и кинули бы в архив запароленный.
А так - баловство какое-то.

(70) ты реально не читаешь что тебе пишут?

(70) Выводы на будущее делайте.

(70) Папка скрыта. Скрыта но в том месте где должна быть или в другом месте?

(70) интернет то отключили?

(76) Она всего скорее просто удалена, до кучи может еще и зашифрована.

(78) насколько я знаю, удалить папку/файлы, нельзя, пока юзверы сидят в 1С.

(78) он же в ней сидит и даже документы проводит ))

Было бы еще интересно послушать вероятные причины - утечка пароля, отсутствие VPN?

Выводы сделал.
Папка там где и положено быть.
Думаю, как только закрою 1С - она пропадет....
Вот причины утечки пароля и мне интересны..... может троян промухал, обидно если так...

Автор запустил интригу, и молчит.....

имхо автор троль, ему пофиг

(82) Если папка на месте, то первым делом сделать копию. И попробовать запустить и поработать на копии.

(82) ты издеваешься?
Как папка может пропасть после закрытия 1С?
1С держит ее в этом мире?

(86) так ее ж украли..

Он не троль, просто паникёр

2. Попробовать с другого компа, под другим пользователем (винды и 1С) зайти на копию

(87) видимо ждут пока он клиент закроет чтоб стереть последний байт информации =)

Шикарная трава! ))) Копируйте каталог пока он есть)))

(79)(80) А как криптопро работает? Вирь сидит, обеспечивает передачу инфы от базы к базе. Т.к. база открыта - то он доступ обеспечивает покамест )

(91) см (92)

Кстати, если есть майл вора, то не помешало бы начать переписку с ним, Разузнать его требования, что он хочет.... вообщем побольше информации о нем. Вдруг удастся узнать кто он (может кто-то из ваших знакомых)

(94) и даже не один..

Напоминает сцену из фильмов 90-ых: важную информацию из компа записывают на дискету (3 дюйма). А потом - комп взрывают - чтобы нужная информация осталась только на дискете. И причем потом дискета, как правило, подвергается не хилым внешним воздействиям (тонет, обгорает и т. д.), но в нужный момент - вставляется в комп и - о, чудо - все информация сливается куда надо.
Бред короче.

Так. я - не троль, просто в другом месте базу копирую...
1. База скопировалась - все ОК.
2. после закрытия - чуда не произошло база осталась, имхо пока варвары информацию калечили база была открыта и они ее просто спрятали, но все остальное - похерили (обработки, печатные фрмы и т.д., но это не очень большая проблема - это восстановим.)

3. завтра попробую хетман унэразе прогнать, походу просто все тупо удалили...

обязательно отпишусь.

(97)
Прогоняй сейчас. Пока еще не было много операций на диске

(98) спасибо, сервак вырубил, диски снимаю

Кому интересно - переписку начал, жду ответа, отпишусь...

(97) какие-то криворукие варвары)) походу плохо знают как работает одноэс))

странно, доступ к серваку получили, а сессии терминала не прикрыли....

(102) вот еще в помощь криворуким варварам)))

http://its.1c.ru/db/metod81#content:1644:1

походу просто 3 гига по каналу в 512 килобит просто не успели скопировать до того как сессию 1с запустили пользователи....
а потом просто удалить файл нельзя, скопировать - можно а удалить - нет

(102) и даже не позвонили по телефону...

(104) пользователи рубятся на раз, удаляется тоже легко

(87) авансом украли, или в рассрочку

Просто повезло, частично, что варвары видать не совсем опытные попались....

(108) что уж о вас говорить...

(108) vpn использовали?

Скорее всего ногами пришли через входную дверь..

сидели и копировали

(0) Сервер портом 3389 в инет торчит ?

(113) Даже если и так, пароль простым перебором не так просто подобрать

(114) т.е. это по твоему нормально?

в бух 3.0 есть прикол "отправить копию в сервис"

(114) если он не 123, что часто бывает

(114) Угу, совсем тяжело - по умолчанию нет блокировки (2012 не юзал) при 3х,5и,7и и т.д. неправильных коннектах на паре логин/пароль.

(109) - я признаю, что опыта в защите от внешних атак у меня мягко говоря не очень. но все мы учимся помаленьку.
(113) конечно торчал - вырубил уже
(117) нет он не 123 у админа по крайней мере, правда есть пользователь с простым подбором но имя.... вот и думай.

VPN - не поднят конечно, сервер и так еле тянет, а на доп оборудование бюджет..... ну вообщем как то так.

(120) экономите на спичках

Я то это уже понял, и повод вновь поднять этот вопрос - появился

(0) дело рук фиксина, вестимо

(118) Как это нет блокировки? Она вроде включена еще со времен 2003

(115) Конечно нормально, если есть внешние юзеры

(120) Если у конторы, нет денег на самый простой microtik за 2700 рублей - то ловить там нечего.

(0)не могу понять как такое может быть. Когда база открывается, то файлы захватываются и их удалить уже невозможно.

Кстати, открытые файлы можно зарарить, есть такой режим в раре...

(0) Или опенвпн ставь, или ssh

вангую: терминалка, торчит наружу рдп, парольных политик нет (бухам неудобно), база расшарена, права не нарезаны (то есть всем всё можно), конечно же никакого аудита

+(130) 512кб где это видано  ,щас?

Если пишут, что базу украли, это не значит, что у вас её не будет, это означает, что слили инфу.

(132) инфу сливают тихо. А здесь дети развлекаются.

может вообще сотрудники вредничают, решили этому упырю эникею устроить холокост

Заявление в полицию (0)
Переписывайтесь

(132) а если программу, то что это значит?

(0) ну скачали базу, ну и что? не удалили ведь?

(79) Но можно перенсти, даже если файлы открыты, причем доступ к уже открытым файлам не теряется

(131) ну у нас такая скорость от Ростелекома для юриков на 10Гиг за 1000 руб в месяц, а до этого вообще было 256 кбит 3 Гига за эти же деньги.

(139) хз как у вас там в Кирове, у нас качай перекачай тырнет весь за 4000 рэ и скорость 10мб  ,для юриков

(134) это  верно, либо уже есть кандидат на эту должность из "своих" типа родственничка гл. буха...

(140) Ростелеком?

экономия на одмине и на "одноэзнеке"...

Парольные политики помогают но щас и ломают грамотней. Стучат до блокировки, меняют имя и ломятся дальше перебирая простые пароли и распространены имена. прекращая ломиться в рабочее время чтобы утечки разблокировать до начала работы. Уж если вывешиваемый терминал то хотя бы стандартный порт смени. Поставь всем ограничения по времени на нерабочее время. и пароли нормальные чтобы у всех были и имена желательно чем то добавлять не не "Вася", а Пупкин_Василий

(144) все это решается за минуту "требования сложности" и "политика блокировки"..

тем более от внутреннего вредителя это не поможет, тут логирование и бекапы нужны.

(144) IPSec надо включать, а не паролями баловаться

Так. всем спасибо за советы и участие. но.
тема пока не закрыта.
Кому интересно:
После начала общения с варварами мне было предложено перечислить 20000 р на киви кошелек в обмен на доступ к гугл диску с моими данными.
для интереса начал переписку с предложением открыть доступ за 500 руб (данные я все восстановил и мне доступ был интересен только с точки зрения "неужели они выкачали 10 гигов по адсл каналу за пол ночи)
они естетственно согласились и... доступ естественно не дали,
правда предлоожили купить за 1000 инструкцию по безопасности

Но если раз кинули, то больше не верим таким доброжелателям :) (хотя верить в честность хочется всегда, но.... увы).

Теперь вот у меня возникает вопрос.....
По логам аудита выходит, что какимто образом (мне не известным) на компе появился пользователь gamroot, который создал пользователя Adm а пользователь Adm уже шалил в терминале...
Вот и получается, что пароли не скомпрометированы как бы... или я чего то не понимаю?

и очень интересно как они это сделали????

и вот очень интересно, кто может подсказать нормальные ресурсы (не хакер ру и не хакзона) где реально можно почитать о методах взлома, всетаки боюсь, что не зная как ломанули сервер не смогу обеспечить его безопасность...

наружу был через адсл модем проброшен пор 3389 и все....

Если кто в курсе полезных ресурсов - поделитесь пожалуйста...

п.с. IP с которых происходил взлом - 145.48.6.135 и 209.148.82.125

нидерланды и.... тихий океан

(148) "не зная как ломанули сервер не смогу обеспечить его безопасность" -  Не экономьте на админах, и вас никто не взломает.

(149) сначала был компьютер, потом появилась сеть, потом появилась потребность удаленного доступа и т.д.

если админа менять под каждую задачу, то где-ж их найти админов то? (шутка, возможно не смешная)

а если серьезно - то не надо сарказма и издевательств, я такой-же как и вы что то умею, что то даже очень не плохо, чему то учусь, в чем-то ошибаюсь, и многого не знаю, но я хочу учиться и буду это делать, иногда на своих ошибках но возможно и на Ваших.

(148)<<наружу был через адсл модем проброшен пор 3389 и все....

Набери в гугле навскидку что либо из серии "уязвимость через rdp порт 3389" и поймешь как и чем это может грозить..

Поскольку база работает, я бы действовал следующим образом.
1. С помощью стандартных утилит операционки посмотрел бы какие файлы юзает 1С в терминале.
2. Если 1 не получилось, попробовал бы с помощью утилиты processmon.
А дальше бы искал файлы. Они явно есть.
Ну и отправить админа на курсы, или руки выпрямить.

(148)Имею сейчас как раз идентичную ситуацию. В переписку вступать не стал, а запустил R-Studio, предположив обычное форматирование диска с частичной заливкой пустых папок.

+(153)Заблокировал двух пользователей появившихся ночью.

Кстати в логах не видно взлома подбором паролей

(155) нет, не видно, в том то и дело

(154) а что за пользователи были?

IISManager и 1с, эти пользователи появились и были активны ночью

вот содержимое файла:
Нарушена система безопасности файлов , серийный номер 838 консультация - [email protected]

забавно, это не шантаж, это консультация, платная. А почему там адинес не работает - так это еще доказать надо )

(148) [и очень интересно как они это сделали???? ]
Известных вариантов всего два:
1. тупой брут
2. mitm атака

Я много чего видел, но чтобы базу тырили на ходу.....

(150) Никакого сарказма. Просто обычно безопасностью сети озабочиваются ДО того, как открыть порты, дать удалённые доступы и т.п., а не после того КАК.

(148)А из бэкапа поднять?

(13) Что за статья?

(148) ты вообще в обновления безопасности заглядываешь? что за тупые вопросы.
и поищи в гугле "gamroot"

(165) Уголовная, 272-273