Okay Опубликовано 9 июня Поделиться Опубликовано 9 июня Зашифровали сервер 1С на базе Windows Server 2019 Standard, все обновления стоят. Доступа по RDP нет, сервер 1С открытыми портами в интернет не светит. Почитав аналогичные темы, понял, что взломали через пользователя USR1CV83 (хотя в системе ему было задано другое имя). Примерное время взлома: 08.06.25 03:00 МСК. После шифрования все следы шифровальщика были удалены, системные журналы очищены, сервер выключен. Поиск по временным папкам ничего не дал. Elcomsoft Forensic Disk Decryptor тоже не помог. На восстановление файлов не надеюсь, восстановим из имеющихся резервных копий. Вопрос в том, каков именно механизм взлома и как защититься от подобного в будущем? Пользователь USR1CV83 был назван по-другому, пароль задан сложный, админские права ему нужны для корректной работы. FRST.txt Addition.txt FILES_ENCRYPTED.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 9 июня Поделиться Опубликовано 9 июня 1 час назад, Okay сказал: сервер выключен. Сервер сам выключили? + проверьте ЛС. Ссылка на комментарий Поделиться на другие сайты Поделиться
Okay Опубликовано 9 июня Автор Поделиться Опубликовано 9 июня 13 минут назад, safety сказал: Сервер сам выключили? Нет, шифровальщик после выполнения своих скриптов. В ЛС ответил. Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 10 июня Поделиться Опубликовано 10 июня 8 часов назад, Okay сказал: Доступа по RDP нет, сервер 1С открытыми портами в интернет не светит. Подключение к серверу могло быть с устройства из локальной сети, к которому злоумышленники смогли получить доступ. Ссылка на комментарий Поделиться на другие сайты Поделиться
Okay Опубликовано 10 июня Автор Поделиться Опубликовано 10 июня 56 минут назад, safety сказал: Подключение к серверу могло быть с устройства из локальной сети, к которому злоумышленники смогли получить доступ. Ну допустим, а дальше как? Уязвимость в сервере 1С? Известно что-то об этом? Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 10 июня Поделиться Опубликовано 10 июня (изменено) Все по порядку: серверC активно брутится сервер. Source IP,Computer name,Count,First attempt,Last attempt,Tried user names 183.232.204.2,-,16,09.06.2025 17:42:53,09.06.2025 17:44:43,"袗写屑懈薪懈褋褌褉邪褌芯褉, ADMINISTRATOR, ADMIN, USER" Профиль был создан в ходе атаки, это скорее всего доменная учетка, к которой злоумышленники смогли получить доступ. 2025-06-08 02:32 - 2025-06-08 03:15 - 000000000 ____D C:\Users\USR1CV83 Изменено 10 июня пользователем safety Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 10 июня Поделиться Опубликовано 10 июня Критических уязвимостей не обнаружено. ID,Codename,Installed? "CVE-2019-1181, CVE-2019-1182",DejaBlue,yes CVE-2020-0601,CurveBall,yes CVE-2020-1350,SIGRed,yes CVE-2020-1472,Zerologon,yes CVE-2020-16898,Bad Neighbor,yes CVE-2021-34527,PrintNightmare,yes Защита учетных записей от брутфорса не настроена. Ставить 20-30 Setting,Value Lockout threshold,Никогда Судя по таймлайн, смогли очистить журналы событий под данной учетной записью USR1CV83 Проверьте, есть ли учетная запись USR1CV83 в домене или нет. И с какими правами. Она может создаваться автоматически при установки 1с. Datetime,Source,Event description 08.06.2025 03:51:26.803,Windows Event Log,"Log ""Windows PowerShell"" was cleared by PZVSRV\USR1CV83." 08.06.2025 03:51:26.794,Windows Event Log,"Log ""Windows Networking Vpn Plugin Platform/OperationalVerbose"" was cleared by PZVSRV\USR1CV83." 08.06.2025 03:51:26.789,Windows Event Log,"Log ""Windows Networking Vpn Plugin Platform/Operational"" was cleared by PZVSRV\USR1CV83." 08.06.2025 03:51:26.714,Windows Event Log,"Log ""System"" was cleared by PZVSRV\USR1CV83." 08.06.2025 03:51:26.686,Windows Event Log,"Log ""Security"" was cleared by PZVSRV\USR1CV83." Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 10 июня Поделиться Опубликовано 10 июня (изменено) 28 минут назад, Okay сказал: Ну допустим, а дальше как? Уязвимость в сервере 1С? Известно что-то об этом? Эту информацию злоумышленники предоставляют пострадавшим от взлома и шифрования. Delete the administration of the 1C server from the external network, port: 1540! Delete all test databases from the 1C server! Replace the service account with an account without administrator rights! Set the Server Administrator 1C https://its.1c.ru/db/metod8dev/content/5816/hdoc Лучше обратиться в компанию 1с за разъяснением проблемы и информацией о правильной настройке сервера в связи с этой проблемой. Эта история длится уже как минимум год с некоторыми перерывами. Изменено 10 июня пользователем safety Ссылка на комментарий Поделиться на другие сайты Поделиться
Okay Опубликовано 10 июня Автор Поделиться Опубликовано 10 июня Сервер не в домене, учетной записи USR1CV83 на сервере нет, учётка для работы сервера 1С названа по-другому, пароль к ней сложный, брутфорсить его довольно долго. Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 10 июня Поделиться Опубликовано 10 июня В данном случае добавить ничего не могу. Попробуйте обратиться в 1с за разъяснением. Возможно есть ошибки при настройках безопасности сервера 1с. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти