Экстренное восстановление базы данных
после взлома сервера 1С

24 марта 2020
Компания:
Поставщик продуктов питания
Сфера деятельности:
Поставка продуктов для японской кухни
Аутсорсинг
Аутсорсинг

Исходные данные

Клиент обратился к нам с экстренной проблемой: атаке хакеров подвергся их физический сервер, вся информация с него — базы «1С:Торговля» и «1С:Бухгалтерия» и документы пользователей — была украдена. Вместо них появилась запись о том, что все перенесено в облако и для получения данных требуется выкуп. Работа в центральном офисе компании и во всех филиалах была парализована. Клиент обратился к нам за экстренной помощью.

Взлом сервера 1C

Хочется сказать пару слов о причинах подобных ситуаций: очень часто мы сталкиваемся с отсутствием какой-либо системы или регламента при настройке удаленного доступа, невыполнении или откровенном незнании текущих рекомендаций разработчика ПО. В данном случае при удаленном подключении к серверу не применялись средства сетевой защиты, была открыта возможность подбора пароля администратора на сервер, чем и воспользовался злоумышленник для взлома сервера 1C.

Реализация

Для заказчика был критичен даже не день простоя, а часы — развозка товара по клиентам происходит целый день. Все заказы и транспортные листы хранились в 1С. Бизнес был полностью парализован. Учитывая высокую критичность, мы пошли навстречу клиенту и начали работы без предоплаты.

Быстро сориентировавшись в ситуации, проектная группа из инженеров «СТЕК» приступила к работе сразу же в день обращения — один из ИТ-инженеров (вместе с комплектом резервного оборудования, которое постоянно хранится у нас на складе) сразу же выехал на площадку к клиенту.

Тем временем руководитель рабочей группы и администратор сетевой безопасности удаленно изучили ИТ-инфраструктуру компании и помимо основной проблемы обнаружили отсутствие системы бэкапов, а также неудовлетворительное состояние «железа» сервера. Далее была спроектирована новая схема серверного ядра сети.

Сложности проекта

Гипотеза о том, что восстановить данные будет возможно, используя специализированное ПО, не подтвердилась. Сервер 1C был действительно абсолютно «пуст», все данные злоумышленник перенес в облако — надо сказать, что это новый тренд у сетевых вымогателей.

Клиент сознательно не хотел идти на контакт с хакером и становиться соучастником шантажа. Мы поддержали его выбор, ведь шанс поторговаться, сбить цену, заплатить и в итоге ПОЛУЧИТЬ ОБРАТНО свои данные уменьшается с каждым днем. Сегодня, по нашему опыту, ситуация может разрешиться удачно для пострадавших лишь в 30% случаев.

В связи с этим проектной группой была выбрана другая стратегия восстановления данных. По счастливой случайности у главного бухгалтера компании сохранились копии баз данных 1С месячной давности. Т.к. время восстановления было критичным — мы сначала собрали временную платформу на своих ресурсах и запустили оперативную работу компании заказчика.

Затем проектная группа инженеров за пару дней развернула серверную ИТ-инфраструктуру клиента, модернизировав серверную платформу, заменив сетевое оборудование на более профессиональное. Финишно мы разработали и согласовали с клиентом регламент резервного копирования. Настроили мониторинг критичных ИТ-сервисов.

Восстановление сервера 1С

Результаты

  • Запуск оперативных бизнес-процессов клиента в день обращения;
  • Модернизация ИТ-инфраструктуры позволила увеличить быстродействие системы и надежно защитить бизнес-информацию;
  • Клиент смог спокойно вздохнуть, остался доволен результатами сотрудничества.

Надо сказать, что клиент не сделал выводы на будущее — терапия все же лучше хирургии. Обсуждение абонентского сопровождения ключевого для жизнедеятельности компании ИТ-сервиса — сервера терминалов и сервера приложений 1С «потонуло» где-то на этапах согласования разного уровня начальников. Видимо мы опять скоро встретимся…

Рекомендации и выводы

Чек-лист для ТОПов и финансовой службы любого предприятия:

  1. Организуйте защищенные каналы связи филиалов с сервером через VPN-соединение при помощи профессионального сетевого оборудования, например, MikroTik, Juniper, Ubiquiti и тд;
  2. Ограничивайте доступ к удаленным рабочим столам с помощью межсетевого экрана: разрешайте вход только с конкретных IP-адресов/подсетей;
  3. Для защиты сервера используйте нетипичные названия учетных записей;
  4. Усложните подбор пароля администрирования сервера 1С с помощью блокировки учетной записи после введения определенного количества неверных комбинаций логин-пароль;
  5. Храните данные в защищенном частном облаке, производите бэкап не меньше 1 раза в день, а лучше имейте разработанный именно для ваших условий бизнеса регламент резервного копирования.

Регулярный мониторинг состояния информационных систем также поможет обеспечить защиту базы данных. И помните, если на сервере взломали пароль один раз, ваши меры безопасности должны быть усилены на порядок, потому что атака обязательно повторится!

У Вас похожая задача?Мы всегда готовы подсказать решение!
Задайте вопросы напрямую руководителю данного проекта (9.00–23.00):
+7 965 022 73 40