Перехват управления сетью

[bruslyc]

Очередной перехват произошел некоторое время назад силами нашей команды.
Ничего криминального, просто обратился к нам знакомый знакомого чьего-то знакомого с жалобами на своего сисадмина.
Опустим морально-этический аспект как самого админа так и перехвата управления, опишу вкратце, без выводов ибо знаю ситуацию только со слов руководителя.

Comments

[solar_front]

Это еще в РБ у сисадминов раздолье - реального производства не много. Им только в виртуальном и крутить -вертеть. А если цех, то и гори оно гаром это 1С.

А правоохранительные нельзя включать?

[bruslyc]

виртуалки проще бэкапить, 1 физический сервер может крутить несколько десятков, тем более если серваки в кластере с миграцией то самое то

чтоб подать на него в суд нужно физическое подтверждение ультиматума, а там человек даже должностной инструкции не имел, устроен как мастер в цеху

вот приходят они к нему а он говорит - идите лесом я вообще сварщик

в итоге это всё оборачивается блокировкой работы и вероятным удалением инфы (может быть он и не удалил бы, кто его знает, вдруг просто припугнул) как минимум

хозяин решил что проще позвать нас и не прогадал

[solar_front]

не я про другое: странный баланс: полбизнеса и нолики с единичками как заряды в кремнии. Ну, пропала бы бухгалтерия - с кем не бывает. Пишется письмо - разьясняется хозяйствующим субьектам, что нас хакнули. Кто - не знаем. работаем над этим.

По истории этот сисадмин не особо умный - столько вложить и поставить всё на "красное" большого ума не надо. Жизнь - не голлливуд. НО вообще админы довольно странный народ по моему опыту: спрос на них есть - они это прочувствуют и начинают искать как это монетизировать. Но это глупо - спрос есть, но они не едеинственные на рынке.

[bruslyc]

в плане 1с - там база больше 10 лет, бухгалтер сказала что караул если базу кирдык
кроме того там сапр софт и проекты за много лет в обмене, с обменом вообще проблем не было, слили спокойно
больше сыграл эффект внезапности и офигивание от наглости

[agrc79]

неплохая работа над ошибками)))
практически инструкция)

[bruslyc]

ну как именно доменного ковырнули явно не написал :)
кто в теме тот знает несколько способов :)
всё выковыряли чисто по лени и невнимательности предыдущего
нас держали 1ски, которые надо было обязательно вернуть

[agrc79]

1ску в облако,договор на контору)

[bruslyc]

там руководитель не сечёт в ИТ совсем
он мужик с руками и головой в части всяких редукторов и тд и тп
он механик а не айтишник
а админ имхо сделал узкое место на этом серваке
странно конечно, даже бэкапов на внешние не делалось

[simfeya]

Ого! Прям как в кино!

[bruslyc]

или как в цирке

[rimlyanin]

>> получив физический доступ к серверу любой эникей с гуглом сможет разложить его на молекулы если проявит терпение.
Так это давно известно.

[bruslyc]

да известно, но никто не знает какие таймбомб там могут быть

[rimlyanin]

Таймбомбы да, возможны, но ведь изначальная задача "слить инфу" была

[bruslyc]

ну так если бы не подобрались пароли пришлось ребутать сервак
а после ребута там гарантированно не заводилась виртуалка с 1с, так говорят было всегда, 1с вертал взад только админ
а теперь внимание вопрос, вдруг это не 1с не взлетало а срабатывал механизм защиты?
у нас например есть пара клиентов где стоят виртуалки-перевёртыши
после ребута сервера там ничего нет
потому что там и до ребута ничего не было
но после ребута стартует пустышка и меняются маршруты
я понимаю, что если у нас есть такие замутки, то не факт что они есть в другом месте
но те же перевёртыши мы не в гугле подсмотрели :))) сами наткнулись как то давно на такое, долго мучали но расковыряли
но там опять же фактор лени админы сыграл

[webcelerator]

ПР-73 все же лучше..

[bruslyc]

не всегда

[webcelerator]

За попытку отжать половину конторы в 90-е и паяльник бы пошел в ход.

[bruslyc]

вероятно
я в 90 студентом был
бизнесов не имел :)