» Несанкцинированый доступ к сети через RDP

Попалась сегодня контора, куда то пропали все файлы с сервера. На диске только файл lockdir.exe и изображение Выход есть.png, к серверу открыто подключение по RDP, есть мысль что к нему кто то подключился из вне и попросту снес. в логах безопасности вот такой сеанс каждые 30 сек.

Доверенный процесс входа в систему зарегистрирован локальным администратором безопасности. Этому процессу будет доверено представление запросов на вход в систему.

Процесс входа в систему:    Winlogon\MSGina

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Сейчас закрыл доступ по рдп, настраиваю впн. Как можно просмотреть кто конектился по рдп и с какого IP шло подключение?

Если кто-то подключается по РДП, то он имеет логин и пароль. Имеет привилегии такого входа. Найти на отдельном сервере -гвопрос. Посмотреть, кто имеет такие привилегии и заблокировать
По ВПН взломать сеть гораздо проще. Оставить закладочку, которую вы не найдете. Как оставить? Да изнутри, на работе. Если уж сжижены привелегии. то они сжижены. И оставить закладку... Дело техники.
Уровень домена?

Цитата:

Если кто-то подключается по РДП, то он имеет логин и пароль. Имеет привилегии такого входа. Найти на отдельном сервере -гвопрос. Посмотреть, кто имеет такие привилегии и заблокировать
По ВПН взломать сеть гораздо проще. Оставить закладочку, которую вы не найдете. Как оставить? Да изнутри, на работе. Если уж сжижены привелегии. то они сжижены. И оставить закладку... Дело техники.

Какую закладку имеете ввиду?


Добавлено:
Оставил доступ по РДП, доступ по рдп дал только одной учетке, что еще можно придумать что бы обезопасить себя? И как отловить того кто это наделал?

Извините, но это моё как бы ноу-хау. Пока непонятно, что у вас за домен, как с наружи приходят.... Можно же черех Длинк, а можно через ТМГ, а можно просто воткнуть сервер наружу....
Что за сервер-то? Почему только РДП? Изнутри наверняка есть обычный доступ без всяких там...
Если кто-то завладел привилегиями, а я, так понимаю, вы думаете на это. Например сотрудник записал логин пароль на мониторе и пошел в столовую... Не бывает? Сплошь и рядом. То всем менять пароли и всё.
Дело в том, что РДП шифруется по ССЛ, и он ни чем не хуже.
Если же я могу изнутри набрав \\server\C$ и зайти, то при чем здесь РДП? Вас могут иметь изнутри, вирусами, безответственными действиями, разгильдяйством на рабместе.... Да мало ли чем?
А с РДП очень просто. Есть юзеры, которые могут получать доступ, админы в тч. Просто меняют пароли и всё

Добавлено:

Цитата:

что еще можно придумать что бы обезопасить себя? И как отловить того кто это наделал?

Можно посмотреть в сторону аудита, но там будет столько логов, что, обычно, под их анализ пишется отделный сложный софт. А если это зараженная машина? Вы её прилюдно казните.
Настраивайте сеть. Без конфига больше ничего сказать, ответственно сказать, больше ничего нельзя.

Добавлено:

Цитата:

Оставил доступ по РДП, доступ по рдп дал только одной учетке

Достаточно было сменить пароли Всём Приказом.

Цитата:

Извините, но это моё как бы ноу-хау. Пока непонятно, что у вас за домен, как с наружи приходят.... Можно же черех Длинк, а можно через ТМГ, а можно просто воткнуть сервер наружу....
Что за сервер-то? Почему только РДП? Изнутри наверняка есть обычный доступ без всяких там...
Если кто-то завладел привилегиями, а я, так понимаю, вы думаете на это. Например сотрудник записал логин пароль на мониторе и пошел в столовую... Не бывает? Сплошь и рядом. То всем менять пароли и всё.
Дело в том, что РДП шифруется по ССЛ, и он ни чем не хуже.
Если же я могу изнутри набрав \\server\C$ и зайти, то при чем здесь РДП? Вас могут иметь изнутри, вирусами, безответственными действиями, разгильдяйством на рабместе.... Да мало ли чем?
А с РДП очень просто. Есть юзеры, которые могут получать доступ, админы в тч. Просто меняют пароли и всё

Почему то первая в голову мысль пришла именно о рдп, а потом посоображав что удалены файлы только на одном сервера где лежит 1С, и почитав о файле lockdir.exe выяснил что это обычный вирус, который больше всего что попал на ящик от кого то, хотя к серверу подключаются только через рдп и работают там терминально.
В всей сети стоит кашпер, с проверкой всех дисков на выходных, но он нечего не нашел(

Ну.., вам надо прятать чёрную бухгалтерию, ибо неизвестно. где она теперь.
Надо научится гугить. Вам найти этот файл не оставляло труда в течение 5 минут.
Надо найти зараженную машину и вылечить.
Надо отправить файл на вирустотал и посмотреть, кто и что скажет. Соответственно избрать антивирусную защиту
Надо исключить прием исполняемых файлов по почте

Ну и... надо настраивать сеть Вышеприведённое это малая толика.
ЗЫ Надо уметь делиться конфигами, которыми никто не может воспользоваться. Закладку я могу заложить только будучи Inside, в сети определенного конфига, с тысячами учетек иметь привилегии доменадмина. Я просто их лично вынимал и потому знаю как это делается

Поставил програмку для мониторинга кто что создает и удаляет на дисках, что бы знать на будущее когда кто что удалил. Вот бы еще найти что то что бы запрещало создавать и удалять файлы на дисках всем пользователям кроме определенных

Есть такой принцип: не навреди.
У тех пользователей, коим не положено просто не должно быть доступа. Вот и всё. Элементарно это делается через смену пароля, я последний раз повторяю.
Я не знаю вашу 1С, но позволю предположить, что она на сиквеле. А как вы sa дадите виндусовые права? Или джобики не должны исполняться? Может у вас виндусовая авторизация, но про эту учетку вы не забыли?
А если заражен комп последнего привилегированного юзера? Вы это учли?

В общем.... не навредите. Сами себе. Обычно, если все правильно, бюджет безопасности IT, есть треть бюджета от всего IT. Но тогда с них можно и спросить, не только за безопасность, но и работоспособность. А вы ринулись...
Ваше дело просто сменить пароли.
Посмотрите лучше этот вирус. Как он идет, Типичный характер проникновения. Файлы же он куда-то дел? Или просто стер? Ну тогда это просто хулиган - мочить.

Цитата:

Посмотрите лучше этот вирус. Как он идет, Типичный характер проникновения. Файлы же он куда-то дел? Или просто стер? Ну тогда это просто хулиган - мочить.

Файлы попросту стерлись(

Цитата:

Выход есть.png

Так и не сказал никто, что на этой картинке. Может шифровальщик. Ко мне недавно забрался. Так он файлы шифровал и оставлял в каждой папке, где поработал, такую инструкцию в виде картинки, куда и кому денЭжку засылать, чтоб расшифровать...
Таки прогами для восстановления инфы диск "шуршали"? Потому как заявление типа "удалились файлы" у меня ассоциируется с тем, что даже проги для восстановления инфы не находят их среди удалённых...

kot488

Цитата:

Файлы попросту стерлись(

Если я сейчас возьму и ПЕРЕНЕСУ файл "Назад в Архангельск.mp3" с диска D: на флешку, то на диске D: он будет считаться "попросту стертым".
Возможно этот вирус называется "кривые руки". Сидит некий бух, ему надо скопировать инфу, например для налоговой, а он ее не копирует а перетаскивает.
Поюзайте R-Studio

Добавлено:
igor_me

Цитата:

куда и кому денЭжку засылать, чтоб расшифровать...

Было, да. Но файлы-то оставались. Они просто переименовывались (extension) и зашифровывались. Насколько я понял это не тот вариант. Картинки смотреть не могу.

Цитата:

Если я сейчас возьму и ПЕРЕНЕСУ файл "Назад в Архангельск.mp3" с диска D: на флешку, то на диске D: он будет считаться "попросту стертым".
Возможно этот вирус называется "кривые руки". Сидит некий бух, ему надо скопировать инфу, например для налоговой, а он ее не копирует а перетаскивает.
Поюзайте R-Studio

Бакапы я восстановил без проблем, за криворукого буха 100% ручаюсь, не мог он просто так перенести порядка 30 папок обьемом около 500 гб. Да и диски почти пустые стали

Цитата:

не мог он просто так перенести порядка 30 папок обьемом около 500 гб.

Бугага. Взял и не скопировал, а перенес. Копировать же надо? Ну и время надо. А то что потом всё затерлось, так ОСь об этом не сообщает.
Что ни разу не было? Дык он очки уже мысленно напялил на инспектора налоговой, а что там ОСь пишет... Да ну её, мелочь какая. Мне сейчас взятку идти давать, а это дело.
Никогда не отвечайте за людей, это самый непредсказуемый девайс.



Добавлено:
Вообще, как-то странно. Вы сразу начинаете с НАИМЕНЕЕ вероятного и упорно настаиваете.
Я, обычно, начинаю с НАИБОЛЕЕ вероятного.
Если же есть уверенность, что это РДП - меняете пароль. Группы доступа меняете. Никакая приват нет не спасет если есть возможность получить дотуп.
Ну будет доступ через приват нет.... Какая разница. Множите сущности без необходимости.
Впрочем, ваше дело. Вам же надо было поднять тревогу, а не получить советы