Последнее время к нам все чаще поступают обращения пользователей о взломе их Сервера ЛЭРС УЧЕТ и злонамеренных действий на нем (удаление оборудования, блокировка системной учетной записи Администратор и т.д.). Как правило такая ситуация возникает на Серверах с очень простым паролем или и вовсе с паролем по умолчанию.
Просим всех пользователей быть бдительными и задать для учетных записей, особенно с правами администратора, сложные пароли с использованием букв различного регистра, цифр и спецсимволов.
Поделитесь пожалуйста информацией: взлом происходил с IP адресов РФ, или других государств?
Иными словами whitelist на роутере, состоящий только из российских IP поможет от подобных атак?
UPD: и еще вопрос: вход осуществлялся через веб форму входа, или через АРМ оператора? Или может быть вообще REST?
Подробности нам неизвестны, так как инфраструктурой управляют наши клиенты, такая информация может быть только у них.
Известно, что “взломом” занималась группа GhostSec.
Похоже, что весь “взлом” основан на том, что логин и пароль по умолчанию клиенты не меняли. Пока мы считаем, что установка сложного логина и пароля, а так же защита по https обеспечит достаточную защиту.
Заходили через веб интерфейс, сегодня утром. Через учетку admin (пользователь, естественно, не поменял пароль по умолчанию). Удалили все объекты из базы (более 300 объектов).
IP адрес с которого подключались 185.220.102.251 (скорее всего через VPN).
Указанный вами IP-адрес нам ничего не говорит. Скорее всего действительно это какой то из общедоступных VPN или Proxy.
В данном случае вы можете восстановить БД ЛЭРС УЧЕТ из резервной копии, которая была сделана до описанных вами событий.
Да, таки и сделали. Бекап у клиента был актуальный.
Просмотр журнала действий пользователя показал, что до диверсии был предварительный вход с IP адреса 172.98.89.136. Видимо проверяли возможность входа с паролем по умолчанию.
