Ситуация следующая
1С  предприятие 8.1 не типовая конфа
утром зашли в терминале -все ОК
Сейчас один терминал все еще работает.
В каталоге базы текстовый файл с текстом о том, что базу скачали и
емаил
больше ничего...
можно как то из запущеной базы сделать копию базы данных ( не из конфигуратора,  а из обычной базы????)

из СП:

Глобальный контекст (Global context)
СтрокаСоединенияИнформационнойБазы (InfoBaseConnectionString)
Синтаксис:

СтрокаСоединенияИнформационнойБазы()
Возвращаемое значение:

Тип: Строка.

Описание:

Возвращает Строка соединения информационной базы, которую, например, можно использовать для запуска 1С:Предприятия средствами встроенного языка в Automation, Менеджер COM-соединений. Пример результата метода: File="C:\1cv8\Base".

Доступность:

Тонкий клиент, веб-клиент, сервер, толстый клиент, внешнее соединение.

вот там и ищи где напишет))

ждем

Так.
1. бэкапы есть, но желательно восстановить данные именно те которые были сегодня уторм, так как восстановить работу за 5 дней - тоже проблематично.

2.Серверная не проходная - ломанули через интернет

Пока база запущена - пытаюсь скопировать файл базы данных - почемуто папка скрыта, но файл вроде нашел.

паника у меня потому, что неожиданно както все это произошле

(70) ну и бардак у вас в серверной))

(66) можно просто "?" (О программе) нажать вверху

Нетерпеливые какие хацкеры. Ну подождали бы пока все из базы выйдут и кинули бы в архив запароленный.
А так - баловство какое-то.

(70) ты реально не читаешь что тебе пишут?

(70) Выводы на будущее делайте.

(70) Папка скрыта. Скрыта но в том месте где должна быть или в другом месте?

(70) интернет то отключили?

(76) Она всего скорее просто удалена, до кучи может еще и зашифрована.

(78) насколько я знаю, удалить папку/файлы, нельзя, пока юзверы сидят в 1С.

(78) он же в ней сидит и даже документы проводит ))

Было бы еще интересно послушать вероятные причины - утечка пароля, отсутствие VPN?

Выводы сделал.
Папка там где и положено быть.
Думаю, как только закрою 1С - она пропадет....
Вот причины утечки пароля и мне интересны..... может троян промухал, обидно если так...

Автор запустил интригу, и молчит.....

имхо автор троль, ему пофиг

(82) Если папка на месте, то первым делом сделать копию. И попробовать запустить и поработать на копии.

(82) ты издеваешься?
Как папка может пропасть после закрытия 1С?
1С держит ее в этом мире?

(86) так ее ж украли..

Он не троль, просто паникёр

2. Попробовать с другого компа, под другим пользователем (винды и 1С) зайти на копию

(87) видимо ждут пока он клиент закроет чтоб стереть последний байт информации =)

Шикарная трава! ))) Копируйте каталог пока он есть)))

(79)(80) А как криптопро работает? Вирь сидит, обеспечивает передачу инфы от базы к базе. Т.к. база открыта - то он доступ обеспечивает покамест )

(91) см (92)

Кстати, если есть майл вора, то не помешало бы начать переписку с ним, Разузнать его требования, что он хочет.... вообщем побольше информации о нем. Вдруг удастся узнать кто он (может кто-то из ваших знакомых)

(94) и даже не один..

Напоминает сцену из фильмов 90-ых: важную информацию из компа записывают на дискету (3 дюйма). А потом - комп взрывают - чтобы нужная информация осталась только на дискете. И причем потом дискета, как правило, подвергается не хилым внешним воздействиям (тонет, обгорает и т. д.), но в нужный момент - вставляется в комп и - о, чудо - все информация сливается куда надо.
Бред короче.

Так. я - не троль, просто в другом месте базу копирую...
1. База скопировалась - все ОК.
2. после закрытия - чуда не произошло база осталась, имхо пока варвары информацию калечили база была открыта и они ее просто спрятали, но все остальное - похерили (обработки, печатные фрмы и т.д., но это не очень большая проблема - это восстановим.)

3. завтра попробую хетман унэразе прогнать, походу просто все тупо удалили...

обязательно отпишусь.

(97)
Прогоняй сейчас. Пока еще не было много операций на диске

(98) спасибо, сервак вырубил, диски снимаю

Кому интересно - переписку начал, жду ответа, отпишусь...

(97) какие-то криворукие варвары)) походу плохо знают как работает одноэс))

странно, доступ к серваку получили, а сессии терминала не прикрыли....

(102) вот еще в помощь криворуким варварам)))

http://its.1c.ru/db/metod81#content:1644:1

походу просто 3 гига по каналу в 512 килобит просто не успели скопировать до того как сессию 1с запустили пользователи....
а потом просто удалить файл нельзя, скопировать - можно а удалить - нет

(102) и даже не позвонили по телефону...

(104) пользователи рубятся на раз, удаляется тоже легко

(87) авансом украли, или в рассрочку

Просто повезло, частично, что варвары видать не совсем опытные попались....

(108) что уж о вас говорить...

(108) vpn использовали?

Скорее всего ногами пришли через входную дверь..

сидели и копировали

(0) Сервер портом 3389 в инет торчит ?

(113) Даже если и так, пароль простым перебором не так просто подобрать

(114) т.е. это по твоему нормально?

в бух 3.0 есть прикол "отправить копию в сервис"

(114) если он не 123, что часто бывает

(114) Угу, совсем тяжело - по умолчанию нет блокировки (2012 не юзал) при 3х,5и,7и и т.д. неправильных коннектах на паре логин/пароль.

(109) - я признаю, что опыта в защите от внешних атак у меня мягко говоря не очень. но все мы учимся помаленьку.
(113) конечно торчал - вырубил уже
(117) нет он не 123 у админа по крайней мере, правда есть пользователь с простым подбором но имя.... вот и думай.

VPN - не поднят конечно, сервер и так еле тянет, а на доп оборудование бюджет..... ну вообщем как то так.

(120) экономите на спичках

Я то это уже понял, и повод вновь поднять этот вопрос - появился

(0) дело рук фиксина, вестимо

(118) Как это нет блокировки? Она вроде включена еще со времен 2003

(115) Конечно нормально, если есть внешние юзеры

(120) Если у конторы, нет денег на самый простой microtik за 2700 рублей - то ловить там нечего.

(0)не могу понять как такое может быть. Когда база открывается, то файлы захватываются и их удалить уже невозможно.

Кстати, открытые файлы можно зарарить, есть такой режим в раре...

(0) Или опенвпн ставь, или ssh

вангую: терминалка, торчит наружу рдп, парольных политик нет (бухам неудобно), база расшарена, права не нарезаны (то есть всем всё можно), конечно же никакого аудита

+(130) 512кб где это видано  ,щас?

Если пишут, что базу украли, это не значит, что у вас её не будет, это означает, что слили инфу.

(132) инфу сливают тихо. А здесь дети развлекаются.

может вообще сотрудники вредничают, решили этому упырю эникею устроить холокост

Заявление в полицию (0)
Переписывайтесь

(132) а если программу, то что это значит?

(0) ну скачали базу, ну и что? не удалили ведь?

(79) Но можно перенсти, даже если файлы открыты, причем доступ к уже открытым файлам не теряется

(131) ну у нас такая скорость от Ростелекома для юриков на 10Гиг за 1000 руб в месяц, а до этого вообще было 256 кбит 3 Гига за эти же деньги.

(139) хз как у вас там в Кирове, у нас качай перекачай тырнет весь за 4000 рэ и скорость 10мб  ,для юриков

(134) это  верно, либо уже есть кандидат на эту должность из "своих" типа родственничка гл. буха...

(140) Ростелеком?

экономия на одмине и на "одноэзнеке"...

Парольные политики помогают но щас и ломают грамотней. Стучат до блокировки, меняют имя и ломятся дальше перебирая простые пароли и распространены имена. прекращая ломиться в рабочее время чтобы утечки разблокировать до начала работы. Уж если вывешиваемый терминал то хотя бы стандартный порт смени. Поставь всем ограничения по времени на нерабочее время. и пароли нормальные чтобы у всех были и имена желательно чем то добавлять не не "Вася", а Пупкин_Василий

(144) все это решается за минуту "требования сложности" и "политика блокировки"..

тем более от внутреннего вредителя это не поможет, тут логирование и бекапы нужны.

(144) IPSec надо включать, а не паролями баловаться

Так. всем спасибо за советы и участие. но.
тема пока не закрыта.
Кому интересно:
После начала общения с варварами мне было предложено перечислить 20000 р на киви кошелек в обмен на доступ к гугл диску с моими данными.
для интереса начал переписку с предложением открыть доступ за 500 руб (данные я все восстановил и мне доступ был интересен только с точки зрения "неужели они выкачали 10 гигов по адсл каналу за пол ночи)
они естетственно согласились и... доступ естественно не дали,
правда предлоожили купить за 1000 инструкцию по безопасности

Но если раз кинули, то больше не верим таким доброжелателям :) (хотя верить в честность хочется всегда, но.... увы).

Теперь вот у меня возникает вопрос.....
По логам аудита выходит, что какимто образом (мне не известным) на компе появился пользователь gamroot, который создал пользователя Adm а пользователь Adm уже шалил в терминале...
Вот и получается, что пароли не скомпрометированы как бы... или я чего то не понимаю?

и очень интересно как они это сделали????

и вот очень интересно, кто может подсказать нормальные ресурсы (не хакер ру и не хакзона) где реально можно почитать о методах взлома, всетаки боюсь, что не зная как ломанули сервер не смогу обеспечить его безопасность...

наружу был через адсл модем проброшен пор 3389 и все....

Если кто в курсе полезных ресурсов - поделитесь пожалуйста...

п.с. IP с которых происходил взлом - 145.48.6.135 и 209.148.82.125

нидерланды и.... тихий океан

(148) "не зная как ломанули сервер не смогу обеспечить его безопасность" -  Не экономьте на админах, и вас никто не взломает.

(149) сначала был компьютер, потом появилась сеть, потом появилась потребность удаленного доступа и т.д.

если админа менять под каждую задачу, то где-ж их найти админов то? (шутка, возможно не смешная)

а если серьезно - то не надо сарказма и издевательств, я такой-же как и вы что то умею, что то даже очень не плохо, чему то учусь, в чем-то ошибаюсь, и многого не знаю, но я хочу учиться и буду это делать, иногда на своих ошибках но возможно и на Ваших.

(148)<<наружу был через адсл модем проброшен пор 3389 и все....

Набери в гугле навскидку что либо из серии "уязвимость через rdp порт 3389" и поймешь как и чем это может грозить..

Поскольку база работает, я бы действовал следующим образом.
1. С помощью стандартных утилит операционки посмотрел бы какие файлы юзает 1С в терминале.
2. Если 1 не получилось, попробовал бы с помощью утилиты processmon.
А дальше бы искал файлы. Они явно есть.
Ну и отправить админа на курсы, или руки выпрямить.

(148)Имею сейчас как раз идентичную ситуацию. В переписку вступать не стал, а запустил R-Studio, предположив обычное форматирование диска с частичной заливкой пустых папок.

+(153)Заблокировал двух пользователей появившихся ночью.

Кстати в логах не видно взлома подбором паролей

(155) нет, не видно, в том то и дело

(154) а что за пользователи были?

IISManager и 1с, эти пользователи появились и были активны ночью

вот содержимое файла:
Нарушена система безопасности файлов , серийный номер 838 консультация - [email protected]

забавно, это не шантаж, это консультация, платная. А почему там адинес не работает - так это еще доказать надо )

(148) [и очень интересно как они это сделали???? ]
Известных вариантов всего два:
1. тупой брут
2. mitm атака

Я много чего видел, но чтобы базу тырили на ходу.....

(150) Никакого сарказма. Просто обычно безопасностью сети озабочиваются ДО того, как открыть порты, дать удалённые доступы и т.п., а не после того КАК.

(148)А из бэкапа поднять?

(13) Что за статья?

(148) ты вообще в обновления безопасности заглядываешь? что за тупые вопросы.
и поищи в гугле "gamroot"

(165) Уголовная, 272-273