Сегодня приблизительно в 18 часов мне позвонил клиент (розничный магазин файловые версии Ут103 и БП3.0.
Я подключился, выяснилось, что кто то проник в компьютер (сервер) по RDP и заархивировал несколько папок с базами. Но не все. И создал файл TXT в корневых папках и подапапках с надписью "данные заархивированы с паролем. отправьте на yandex кошелек 17 000 рублей и напишите письмо по такому то адресу и получите пароль.

уничтожил нужные базы, оставил только базу Управление Торговлей - видимо потому что в ней сидели пользователи, архиватор не смог ее удалить.

Я скопировал эту базу, отправил себе на компьютер - успел. ДАлее меня выкинуло с моей учетки - ктото зашел под моим пользователем. Притом я пароли все поменял, но он снова их подобрал. В результате меня заблокировали окончательно, сервер мы отключили от сети, но он успел удалить рабочую базу - остался бекап часовой давности. Один-два чека уже успели выбить. Но бывает...
А мораль такова, РДП недостаточно, нужно еще шифровать канал, создавать частные виртуальные сети. И конечно же не юзать Windows7 в качестве операционки ) хоть она и позволяет работать в терминальном режиме, она ограничена в возможностях.

А да, бекап удаленной базы бухгалтерии у меня был. А клиент на флешку периодически делал бекапы, но злоумышленник перенес архив и папку с бекапами. Хорошо, что их на флешку скидывают часто.

В перерывах между троллингом 1снегов Паша отбирает деньги у бомжей https://scontent.cdninstagram.com/hphotos-xaf1/t51.2885-15/e15/11116602_1616643541884373_942116679_n.jpg

(0)
> А мораль такова, РДП недостаточно, нужно еще шифровать канал, создавать частные виртуальные сети.

та шо вы говорите??? А мы не знали...

(0)RDP наружу без всяких VPN это нормально. Если конечно вы не банк, и не разработчик ядерного оружия.
В семерке и восмьерке это довольно безопасный протокол, и взломать его на грани фантастики.
А пароль подобрать можно к чему угодно.

Просто грамотно настраиваем систему, и используем стойкие пароли.


если у вас ломанули RDP это значит что пользователь администратор у вас так и называется Администратор, а пароль на него словарный.

а вот интересно сам RDP сервер как-то защищен от подборов паролей. ну там таймаут после нескольких неправильных вводов пароля.
На сервере 2003 прям было видно как перебирают, а ##### серере 2012 консоль терминала и не включишь

(26) > а вот интересно сам RDP сервер как-то защищен от подборов паролей

политиками настраивается кол-во попыток входа до блокировки

(25) > пользователь администратор у вас так и называется Администратор

такое только админ-инфантил может сделать

(28)Ну поскольку название админской учетки по дефолту Администратор, то оно встречается на куче компьютеров.
Вот их то и брутафорсят.

(29) джампег, да ты мне глаза открыл!

(25) Грамотная настройка RDP со всеми фичами безопасности лично мне пока не встречалась. Обычно там отключают все сертификаты и т.п., оставляя совместимость со старыми клиентами и ОС.

Очень простые и легкие в исполнении правила существенно повышают безопасность при использовании RDP.
1. Измените порт RDP.
2. Отключите стандартную учетную запись администратор (Администратор или Administrator).
3. Ограничьте количество попыток ввода пароля (5-7 попыток и блокировка на 30 мин)

Делается за 5 минут, а эффект - существенное повышение безопасности.

(31) > Грамотная настройка RDP со всеми фичами безопасности

что ты имеешь ввиду?

(32)Как изменить порт?

(32) > 1. Измените порт RDP

глупость

Еще, конечно, желательно контролировать сложность паролей у пользователей.

(34) > Как изменить порт?

на маршрутизаторе настроить

(34)
как-то так
http://statusspb.com/kak-izmenit-port-3389-terminalnyy-server

(35) обоснуй?

(37)а если его нет. сервер виртуальный у хостера

(37) это настраивается через реестр в винде. ничего больше не нужно.

у нас в день было по 1000 попыток подбора пароля (по журналу). Поменял порт, стало 3-5 в неделю.

(41)еще наверное можно пинг отключить?

(40) ok
(41) для мобильных юзеров замена порта это невозможность войти без вазелина или вообще

(42) пинг-то чем помешал?

(42) да как хочешь, можно и отключить.

(44)если пинг проходит, значит сервер надо долбить дальше

(43) не знаю, обычно пишешь IP:Port - в строку куда обычно адрес вписываешь и все прокатывает. везде где настраивал проблем не возникло.

(46) LOL

(33) я имею в виду задействование механизмов безопасности, которые там появились, начиная, кажется, с Vista (хотя могу ошибаться). Шифрование трафика, сертификаты и т.д. В общем-то Jump прав, если там все настроить параноидально, то это действительно хорошо закрытый протокол получится, но работать станет заметно сложнее и, по-моему, из XP уже не законнектишься так просто.

(48) ты какой-то странный. пусть 5% ботов это отсеет, чем это плохо? Хуже точно не будет.

(50) ok

+ (49) как минимум, нужно включить TLS (по умолчанию оно там выключено) и сертификаты выдать всем компам которые могут подключаться, те что без сертификатов - отфутболивать. Тогда можно разговаривать о какой-то безопасности. Но вообще лично мое мнение - нафиг надо. Пусть оно живет себе в локалке и живет. А для подключения извне поставить шлюз VPN и там уже заморачиваться с безопасностью.

(52) Поддержу - RDP без VPN зло.

+(53) Но надеется только на VPN тоже зло.

(53) поддерживай или нет, все зависит от конкретной ситуации.

(10) Ниразу не видел чтобы уу пользователей были такие сложные пароли. Они же их не запомнят

(56) знаешь, если пользователю объяснить, что пароль можно сделать из двух русских слов и добавить цифры (и при этом набирать на английском) то прямо озарение нисходит.
Многим нужна подсказка т.к. сами не догадываются.
Объясняешь, что пароль: МояЛюбимаяВнучка3 - достаточно хороший и легко запоминается.

(49)Для ХП нужно просто обновить клиент, остальное все так же.
Не обязательно параноидально, но хотя бы не отключать ту защиту что в майкрософте поставили по дефолту, ухе хорошо.
Защита от брута - таймаут при нескольких неуспешных подключениях в политике
По возможности ограничить диапазон адресов с которых разрешено подключение и/или компьютеров с которых разрешено подключение.
И ограничить права пользователей.
Ну и следить за паролями, в первую очередь за админскими.


Для большинства этого достаточно.
VPN это хорошо, но не обязательно.

(0) И конечно же не юзать Windows7..
Интересно почему?

Интересная тема так как тоже стал немного админить один сервер.

В принципе смена порта rdp, обрезание прав обычных юзеров, ограничение попыток ввода пароля с блокировкой и переименования Администратора достаточно для средней безопасности?

(60) Нет. Требования к сложности пароля еще надо включить.

(0) Контора видать жадная.. пусть ищут кого они в ближайшие 2-3 месяца прокинули на деньги.
тестирую вирт.машину на ms azure Наружу торчит прямой порт. никтои не думает ломать..

нестандартный порт
запрещаю встроенной учетке администратора доступ по сети (удаленно)
у остальных ограниченных пользователей (включая удаленного администратора) пять попыток ввода неправильного пароля - потом блокировка
запрет на простые пароли
9 лет - полет нормальный

(0) Скорей всего лазите в интернете со своего сервера или открыли почту на нем с письмом шифровальщика. Зачем им утруждать себя, долбиться к вам, подбирать пароли, если можно просто с помощью любого юзера зашифровать ваши базы?!

(0) Мне кажется ты гонишь. Или сам так сделал или начитался историй таких и набрасываешь.

(54) про взломы rdp историй очень много. А вот чтобы VPN шлюз взломали - крайне редко бывает. Статистика сама за себя говорит...

(64) скорее всего пользователь запустил зловреда и учетки с паролями улетели на гейт. мораль тут в том что бы не давать ничего запускат на серваке пользователям кроме 1с.

(67) вообще говоря, пароли на винде не хранятся. И SAM файл так просто с сервера не утащишь, он эксклюзивно заблокирован, его можно утащить только если загрузиться с другой машины и прицепить к ней системный диск.

(66) а можно увидеть эту статистику? Где первоисточник?
"очень много историй" это как-то неопределенно. на ОБС похоже.

(69) По RDP - случаев много описано даже здесь. По гейтам здесь не было ни одного. Можно еще покопаться в сети. Что попадалось лично мне: взломы каких-то старых версий OpenVPN, взломы сервера Microsoft PPTP на Windows 2000 и Windows 2003, затем атака HeartBleed на OpenSSL, которая в теории может привести к взлому на тех узлах, где используется бажная версия библиотеки. Это практически все. Ни про одну успешную атаку на, скажем, IPSec аппаратные узлы я не слышал.

(70) еще раз, где эти случаи?
Подбор пароля считать не будем т.к. это не проблема RDP.
Заявление "Статистика сама за себя говорит..." довольно громкое и подразумевает, что где-то эта статистика есть.

Мы люди разумные и оперируем не слухами и мифами, а фактами.
Очень много людей начинают бочку катить на RDP, предлагая впн и еще много чего, ни ни разу никто не дал ответа почему?
Всегда "ну вот статистика" вот в интернете посмотри и т.д.

(68) это не мешает зловреду его брутить находясь на серваке.

Чем меньше пользователь имеет прав и возможностей на терминальном сервере тем лучше..

Надо на видне ещё сделать скрипт, который поддобрщиков банить будет

Пароли все 26 знаков, а лучше ауентифкация по сертификатам

(74)
http://catalog.mista.ru/public/238981/

> отбрутфорсить по словарю

Политика блокировки учетной записи / пороговое значение блокировки
+ Сложные пароли

порт менять есть смысл, т.к. овер 90% атак не заморачиваются сканом, лупят по стандартным портам. Никаких неудобств для мобильных, в любом можно поменять порт.

(72) хорошо. Тогда просто включаем логику. Что такое RDP? Это протокол удаленного доступа к рабочему столу. Когда разрабатывались его первые версии - про безопасность вообще никто не думал и там все шло открытым текстом. Потом таки сообразили, что это неправильно и что-то прикрутили. А протоколы, которые используются в VPN - это безопасность в чистом виде, концентрированная, так сказать. Они разрабатывались именно для невозможности несанкционированного вторжения в сеть организации. На мой взгляд, здесь и ежу понятно что надежнее. Неоспоримым бонусом VPN выглядит то, что один раз настроив эту систему, у вас полностью пропадает необходимость всяких пробросов портов, потому что пользователь, подсоединившись, просто работает в локальной сети. Ему выделяется отдельная подсеть и админ может определить на фаерволле, к каким сервисам из этой подсети есть доступ, к каким нет.
(74) Пароли в 26 символов - мне кажется, это издевательство над людьми. Если вы хотите нормальную защиту - пользуйте сертификаты.

иди брутфорсь сложный пароль с паузой 10 минут после трех неудачных. Лет за мильон справишься

(77) > На мой взгляд, здесь и ежу понятно что надежнее

мощный аргумент. Ежа в студию!

хотя о чем мы, в (0) прекрасно каждое предложение

(79) я больше спорить не буду. Для себя решил еще лет пять назад, что лучше, и пока пожалеть поводов не было. Если кому надо греть голову с выставлением RDP в инет - что ж, дело ваше.

(81) два-три сервера, одна точка входа, 50 клиентов?
"я для себя решил" - в крупных компаниях, где с безопасностью все хорошо, аргумент "я для себя" не работает, там безопасность ваяют коллективно.

(77)
А почему пароли длинной в 26символов это издевательство?
Вот пароль S@me0GlsT4 это издевательство и всего десять знаков.

А вот пароль- Yfi1yfxfkmybrgjkysqvelfr1970 прекрасно запоминается, легко набирается, и 28символов.

Сертификаты тоже не панацея, это просто другой тип защиты.
Уходят так же как и пароли.

(83) твой второй пароль попадает под легкую раскрутку методом социального инжениринга. самый простой спобоб использует словарь и транслит

(84)Объясни пожалуйста что ты подразумеваешь под "раскруткой методом социального инжиниринга" и почему второй пароль этим методом раскрутить проще чем первый.

А по поводу словаря - сколько слов в русском языке?
А сколько комбинаций из слов возможно? А если в сочетании с цифрами, и регистром?
Более трех слов, уже нет смысла словарную атаку делать

(85) да все очень просто. в каждом языке в обиходе 3-4 тыс слов. в некоторых и 2 тыс не наберется.
в 90% случаев в паролях имена и года рождения. имен еще меньше годов тоже. итого вариантов меньше, чем с 10 символах абсолютно произвольных

про регистры тоже все просто. ка правило первая буква заглавная.

а более 2х слов редко бывает

обычно лово или имя, фамилия + год рождения

(35) когда только начинал разбираться со всем этим, тоже был стандартный порт. Открываешь журнал безопасности и начинаешь прифигевать от кучи левых попыток входа.

С тех пор ставятся другие порты, и таких попыток нет практически.

По стандартным портам куча роботов сканит.

(75) powershell лучше настраивать

(86) ты не много прав, но Jump говорит, что если в слова простые вставлять спецсимволы, цифры, разные регистр - не подобрать

Попробуй брутфорсни без спец символов: КакойБольшойЗеленыйСлон

Или

МеняМамаНазывалаПлюшкой

Ну или

ЗашибисьНифигаСебеПароль!

(86)Да ты прав в обиходе слов немного у одного человека около 2тыс.
Но люди разные бывают с разным словарным запасом, поэтому в общем обиходе около 10-20тыс.
Кроме этого есть профессиональные термины.

Далее - у каждого слова в русском языке есть десятки вариантов-суффиксы, префиксы, окончания, которые постоянно меняются в зависимости от ситуации и меняют смысл слова.
Т.е если у человека в словарном запасе есть слово - ходить, то это не одно слово-
Идти, шел, пошел, шли, пошли, ходили, приходили, заходили, выходили.
Т.е десятки вариантов.
Поэтому для одного человека с словарным запасом в 2тыс слов, реальный запас слов более 20тыс.
А как уже говорил выше - у разных людей разные словарные запасы - это уже более 100тыс.
Даже если не брать профжаргон, и намеренные ошибки написания.

В предложении фигурируют цифры, регистр может меняться  не обязательно в начале фразы, а в начале или в конце слова.

Ну и что самое главное - смысл длинного пароля не в том чтобы его было сложнее перебрать чем пароль из восьми символов.
Смысл в том чтобы его было легко запомнить.

Т.е абракадабру из восьми символов я хрен запомню.
А пароль типа - такойма305к124госномерумоейтачкИ легко запоминается nfrjqvf305r124ujcyjvthevjtqnfxrB

(88)Обычно это неправильно.
Надо писать длинные фразы которые для вас лично имеют некий смысл, или которые легко запомнить - крокодилыредколетаютСтаями201  где 201 это например номер офиса.

(94) ну почему же
можно написать Имя-НомерМобильного4цифры$ГодРожденияОтчЕСТво
и хрен кто подберёт

автор возмести работодателю 17 000 ?

(2) ну если овер ВПН - вполне рабочий вариант.

(42) по нормальному вообще все лишние порты закрыть.

Меня вот что смущает: от какого великого умища бэкапы хранятся на сервере терминалов.

(99) спец же делал

(100) угу "птицу видно по полёту"

> ктото зашел под моим пользователем. Притом я пароли все поменял, но он снова их подобрал

Евгейчик думает, что пароль "11111" для учетки "Администратор" это круто. потом делает вывод: "РДП недостаточно, нужно еще шифровать канал".

провинциальные гении в чем-то очень похожи

Где-то была прога, которая позволяет достать пароль из хэша сохраненной настройки подключения по RDP.

Я проверял - работает

(103) И?

у нас были проблемы с обвалом серверов на который народ ходил по рдп.

все оказалось просто. на серверах не закрыли инет и ИЕ и т.п. народ шарился инетом или когда удаленно по рдп ходят на свою почту и открывают левые письма.
Тогда проникало все что угодно и сам факт РДП тут был нипричем

кстати а нахрена архивить то? шифратор быстрее и надежнее

(83) Это понятно, но все-таки с сертификатом все заметно труднее. Если атакующий не является близким знакомым клиента, то нужно либо выкрадывать ноутбук/токен с сертификатом, либо организовывать атаку man-in-the-middle. И то и другое не особенно просто, и я думаю, что в общем случае никто не будет с этим заморачиваться, когда полно лохов с выставленными в нет необновленными виндовыми службами и простыми паролями.

(0)  если сервер 2003 то возможен перехват и подмена сообщений аутентификации между клиентом и сервером. Ищите редиску внутри локальной сети. снаружи сделать это очень сложно, это нужно быть в подсети провайдера Еврейства, к примеру.

Здесь редиску надо искать в айти-гуру который обслуживает контору. Здесь не хитроумный взлом, здесь брутто, здесь нарушение всех мыслимых правил безопасности человеком, который именно за это деньги получает.

Чувак после взлома своей админки даже не проверил список админов.

Брутто - брутфорс. Автоподстановка мать ее

(103) Чушь непори он там в открытом виде - открывается блокнотом.

(0) Админа - нафиг из профессии, VPN только для RDP не нужен, юзать надо сложные пароли, сертификаты и logon attempts - будет щастье. Я кончил.

(111)И кто же чушь порет тут?
Это где в винде пароли хранятся в открытом виде?
Пора бы уже понять что ни один вменяемый производитель софта никогда пароли не хранит в открытом виде.

(0) что-то мне кажется, изначально, сломали ТС, а не сервер.

(113) Но там точно не хэш

(115)Ясен пень что не хэш.
Хэш можно хранить на стороне сервера, но никак не на стороне клиента.
Если на стороне клиента будет только хэш, то что же ты отправлять серверу будешь?

(116) Нук я и говорю что там вид возможно не читаемый но на уровне "скопирую строку и прокатит" - как в натсройках кластера 1С - можног подключить бд незная явных паролей так и тут. И думается мне отправляется тут пароль в явном виде при подключении ну а тут уже его мона тянуть. Страно почему то запомнилось что он в открытом виде хранится ...

(0) Полгода назад обращались с проблемой.
Что выяснилось в том конкретном случае: шифруется не весь файл, а только небольшой участок фиксированной длины в начале файла.

Поэтому:

для файлов 1С: пробуем переименовать в 1cv8.1cd, и натравить на него chdbfl.exe - у меня восстановилось полностью.

для xls и doc - пробуем утилиты восстановления, которых в сети дофига - восстановилась бОльшая часть документов.

для файлов jpg и прочих картиинок - все печально, адекватных средств восстановления не нашлось (что неудивительно, учитывая их строение), но возможно, сейчас что-то и появилось.

(118)Какой нафиг "шифруется не весь файл"???

К топикстартеру на ТС зашел чувак, и закатал базы в архив с паролем.

(0) Что то мне подсказывает, что тот злоумышленник и ТС - таки одно лицо, и что некий евгейчик желает обогатиться на 17 тыр. А данная тема - для отвода глаз начальства или коллег, читающих мисту. Но я разоблачил злодея!

(119) Странный метод, действовал явно профан. Что только подтверждает (120)

(120) Вот так всегда. Первым подозреваемым всегда Местный Администратор :)