Вход | Регистрация
 
Информационные технологии :: Администрирование

Бэкапы на внешнем HDD, с программным отключением HDD. Защита от шифровальщика

Бэкапы на внешнем HDD, с программным отключением HDD. Защита от шифровальщика
Я
   Повелитель
 
19.10.20 - 13:16
Предыстория.
Знакомый работает на большом предприятии. Сеть магазинов 100+
Недавно напал шифровальщик. Зашифровал базы на основном сервере и все бэкапы на другом сервере.
Требовали 1 биткоин. Дня 3-4 восстанавливали, не смогли, сторговались и заплатили в итоге 0.2 биткоина.
Хакер оказался разговорчивым сказал как сломал их.
Он, брутфорсом попал на их сервер RDP, с правами пользователя. RDP было без VPN. Используя какую-то там уязвимость создал себе пользователя с админскими правами. А потом все внимательно изучил и зашифровал разделы нужных дисков.
Когда местные админы проводили расследования, то выяснилось, что этот хакер неделю у них на сервере лазил, входил и занимался там своими темными делами по 2-3 часа в сутки. Даже нашли в открытом доступе статью, по которой пошагово он создал себе пользователя с админскими правами. Почему решили, что по этой статье, потому что он даже имя пользователя сделал как в той статье.

К теме.
И вот я тоже задумался. У меня основные бэкапы на основном сервере и резервные бэкапы на отдельной машине. Я думал, что тем самым шифровальщик мне не грозит. Но в случае как выше, когда это не бездумный вирус шифрует, а человек хозяйствует в сети, то бэкапы надо прятать надежнее.
Тут уже поднимали тему как обезопасить бэкапы. Я 2 способа запомнил:
1. Отдельная машина включается по расписанию, забирает бэкапы, выключается.
2. Внешний HDD включается, забирает бэкапы, выключается.

Вопросы такие:
1. Насколько надежны эти схемы 1 и 2?

2. Решил пока остановится на 2, внешний HDD включение по расписанию, сбор, выключение. Диск под рукой.
Нашел программу USBDeview.exe, которая умеет выключать/включать USB HDD. Одну пока проблему решить не могу. Bat-файлы не могу запустить, UAC контроль учетных записей пользователей не дает вносить изменения. UAC отключать желания нет. Как для отдельных *.exe файлов нашел его выключать, как для *.bat найти не могу.
Подскажите решение, как лучше выключить/включать USB HDD программно?
Возможно есть USB-шнур, который можно включать/выключать программно.
Пока нашел, только USB-шнур с выключателем:
https://www.joom.com/ru/products/5e5a39dbad7dcb01013a7273

Нужны советы.
   timurhv
 
1 - 19.10.20 - 13:28
(0) Я так понимаю, сервер на устаревшей ОС 2008R2, либо Windows 7?
Без блокировки учетки при подборе пароля?
   Повелитель
 
2 - 19.10.20 - 13:33
(1) Не спросил, но думаю не win7 точно.
Мне эта история с перебором кажется маловероятной. Может это сотрдуник-пользователь слил свои учётные данные.
Я спрашивал может ваш бывший админ так подгадил. Как можно найти бэкапы в сети. Говорят, что никого из админов в том числе бывших не подозревают.
   arsik
 
3 - 19.10.20 - 13:36
Зачем так сложно? Включать - отключать.
Отдельный сервер (железка), которая забирает бэкапы с целевых серверов. У нее будет доступ к серверам, а с серверов к ней нет.
   Повелитель
 
4 - 19.10.20 - 13:39
(3) Пока свободной машин нет, а HDD есть. А так да мне этот вариант нравится.
   Волшебник
 
5 - 19.10.20 - 13:39
(0) Ловят?
   Повелитель
 
6 - 19.10.20 - 13:39
(5) Как понять?
   timurhv
 
7 - 19.10.20 - 13:41
(3) (4) Если в (0) изучал схему взаимодействия серверов в течение недели, то где гарантии что и этот сервер не взломает?
   Garikk
 
8 - 19.10.20 - 13:41
(6) в полицию то обралились?
   Kigo_Kigo
 
9 - 19.10.20 - 13:42
Дырка то известная с переименовыванием файлов
(4) для этого достаточно нас сервера и грамотного линуксоида, который это настроит
   Kigo_Kigo
 
10 - 19.10.20 - 13:44
нас = NAS, он не так и дорого стоит, для конторы то
   Повелитель
 
11 - 19.10.20 - 13:46
(7) Вот мне тоже кажется, выключенное оборудование надежнее. Его не заметно.
(8) Не спросил. Знакомый 1с-ник, а разгребали эту кашу админы.
(10) Ищу варианты решения проблемы.
   unregistered
 
12 - 19.10.20 - 13:50
(0) >> Используя какую-то там уязвимость создал себе пользователя с админскими правами.

Вопрос с нормальной настройкой установки патчей и обновлений для закрытия уязвимостей вообще не рассматривается?
Вероятность, что вас сломают при своевременно обслуживании ОС и с правильной настройкой прав в домене, крайне мала. Ибо слишком дорого стоит. А эксплуатировать старые уязвимости по инструкции с сети сейчас любой школьник сумеет.

Дополнительная подстраховка никогда не помешает.
Так что из рассматриваемых вариантов я бы рассматривал схему с отдельной машиной, чей пользователь имеет доступ к серверу и забирает по расписанию бекапы к себе, но к которой никто не имеет доступа. Включать/выключать эту машинку каждый раз - излишний изврат и паранойя.
   ShAV
 
13 - 19.10.20 - 13:52
(0) Сейчас практикую Centos сервер + sFTP + RAID. Для любителей поумничать - FirewallD включен и настроен. Сервер работает постоянно. Все машины в фоне с разницей 5 минут коннектятся и скидывают в свои папки на сервере новые/измененные файлы сохраняя в отдельной папке старые. Уже несколько нападений клиенты пережили практически безболезненно.
   arsik
 
14 - 19.10.20 - 13:54
(7) Расскажи, как он его взломает. Туда же никто не подключается.
   arsik
 
15 - 19.10.20 - 13:55
(13) У меня другая схема.
BareOS - забирает по расписанию с серверов и рабочих станций, все что в задании расписано.
   stopa85
 
16 - 19.10.20 - 13:57
У меня для бекапов (вот таких, самая последняя миля) используется bacula.

На комьютер, который нужно бекаить ставиться Bacula-client работает в режиме сервера (слушает сетевые соединения), сервер бекапов он авторизует по сертификату (но можно и по паролю). Этот bacula-client заточен бекапить файлы, но может выполнить любой скрипт перед тем как бекапить.

Сам сервер от клиентов сетевые соединения вообще не принимает. Он не в домене, у него другой логин/пароль, он не принимает сетевые соединения ни от кого, кроме рабочей станции админа, его нет в DNS.

Найти и ломануть его можно только очень сильно хотеть, действовать изнутри сетрки и знать, что искать.
   timurhv
 
17 - 19.10.20 - 14:02
(14) также как и в (0) через рукожопых админов.
   stopa85
 
18 - 19.10.20 - 14:04
(15) (12) +1

Машина эта кстати может быть вполне себе пентиумом 4 +2GB ОЗУ. Туда только пару-тройку HDD большого объема воткнуть
   Lama12
 
19 - 19.10.20 - 14:07
(1) Первая схема нормально работает.
   spectre1978
 
20 - 19.10.20 - 14:40
Странно, что никто не предложил закрыть внутреннюю сетку VPNом. Уже сколько раз к людям лазили по rdp, выставляли на бабки - и все равно все жрут этот кактус...
   Garikk
 
21 - 19.10.20 - 14:41
(12) <Вопрос с нормальной настройкой установки патчей и обновлений для закрытия уязвимостей вообще не рассматривается? >
чтоты, 90% людей в этой сфере 'установил винду, отключил к чертям эти кривые обновления!!!разраз'... тут даже на мисте периодические такое проскакивает

я уж молчу про переименование учетки Администратор и установке нормальных паролей ...<Он, брутфорсом попал на их сервер RDP.> -- вообще рукалицо
   sergeyspb13
 
22 - 19.10.20 - 15:05
От брутфорса нужны нормально настроить сервер и есть проги... типа RdpGuard, успеешь заметить и залочит на время.
А внешнее устройство можно попробовать включать умной розеткой.))
   timurhv
 
23 - 19.10.20 - 15:21
(22) защитить rdp и поставить умную розетку?
Чет вспомнилось
https://kyky.org/news/hakery-vzlomali-vibrator-i-zapustili-s-nego-strim
https://cryptoworld.su/vzlom-umnoj-rozetki-tp-link-hs110-wi-fi/
   Arbuz
 
24 - 19.10.20 - 15:23
От целевой атаки, без нормальной службы ИБ вас (всех) ничего не спасёт. Ни обновления, ни переименования учёток, ни программное отключение интерфейсов (детский сад - штаны на лямках). При богатой и разветвленной инфраструктуре только комплексный подход и постоянная работа специалистов может помочь. Это я вам как ИБшник говорю. )
   Tarlich
 
25 - 19.10.20 - 15:24
сервер пускает только с определенного списка айпишников...
для остальных - 3 попытки и блокирую айпишник
бекапы делаю не только в облако но и в сетевое хранилище (по фтп)
   MadHead
 
26 - 19.10.20 - 15:28
Лучше сфокусироваться на настройках безопасности сервера.
Обновить ОС
Огранчить ко-во попыток ввода пароля
Ограничить подсети с которых могут подключаться пользователи
Настроить политику на сложность паролей
Возможно сменить стандартный порт RDP (не знаю используется TCP или UDP протокол, если UDP то смена порта существенно усложнит подключение злоумышленика)
   Arbuz
 
27 - 19.10.20 - 15:31
(26) в современных реалиях светить rdp (как и sql и многое другое) во внешку, на любом порту - ССЗБ
   DJ Anthon
 
28 - 19.10.20 - 15:34
(26) смена порта совершенно не влияет на защиту. обновление ос никак не защищает. сложность паролей для многих сотрудников - неподъемная задача.
к тому же пароли сохраняются на компе и легко тырятся мошенниками. вроде помогает впн. но его часто блокируют провайдеры, пока не нашел, как с этим бороться.
   Arbuz
 
29 - 19.10.20 - 15:36
(28) OpenSSH на HTTPS (443) порту - помогало пока всегда.
   DJ Anthon
 
30 - 19.10.20 - 15:37
(0) через усб устройства часто виснут. я отключаю разделы на хдд. акронис ругается, но копии делает. только так пока что удается защититься от шифровальщиков.
пароли рано или поздно кто-нибудь сливает. один мошенник в письме написал, что пароли ему слил пров через даркнет. он же сам сказал, что для защиты нужны впн и сертификаты,
все остальное фигня. последний раз я "терял" базы лет семь назад. а вот бэкапить целиком все данные у многих клиентов не хватает ресурсов, но я за них и не отвечаю, это уже их проблемы.
 
 Рекламное место пустует
   Arbuz
 
31 - 19.10.20 - 15:37
(29) не, OpenVPN, т.е.
   MadHead
 
32 - 19.10.20 - 15:43
(27) VPN добавит тормозов, если интернет канал слабый. Но безусловно VPN стандартное решение для подобных задач.
(28) Попробуйте поднять SSH сервер на стандартном порте и удивитесь на сколько быстро в логах будет куча попыток подключиться с левых IP. Нестандартный порт - это знак для злоумишленника, что админы задумывались о безопасности.
   Djelf
 
33 - 19.10.20 - 16:58
(0) Это нормально! ", брутфорсом попал на их сервер RDP, с правами пользователя. RDP было без VPN"
Знаю админа, который на открытый (на время) RDP уже 5 раз все базы потерял...
И не на одном сервере!
Расстрелять за это не получилось - руководство не дало добро.
Но он умудрился еще и не сделать роллинг бэкапов, и поэтому свежие копии на ftp не загружались, потому что место кончилось ;)
Опять расстрелять не удалось - руководство опять не дало добро.
Придется ждать пока *внезапно* копии сдохнут вместе с винтом, а потом и грохнется база...
   Garikk
 
34 - 19.10.20 - 17:06
(24) от целенаправленной атаки и наличие службы ИБ не поможет (вообще у меня крайне предвзятое отшноешнеи к господам которые там обычно работают), а про детский сад - вы зря, чем больше геморроя - тем с большей вероятностью ids сработает и всё отключит
   Djelf
 
35 - 19.10.20 - 17:12
+(33) Ну и есть и скипты на Github, и сторонние (платные) программы, которые подбор пароля блокируют по IP.
Но это все костыли, впн надежнее на 100500%
   mistеr
 
36 - 19.10.20 - 17:30
(0) >2. Решил пока остановится на 2, внешний HDD включение по расписанию, сбор, выключение.

Если все это происходит на скомпрометированном сервере, то схеме нерабочая.
   mistеr
 
37 - 19.10.20 - 17:32
Рабочая схема — это pull на бэкап сервер + периодическая ротация носителей с оффлайн хранением (в сейфе).
   mistеr
 
38 - 19.10.20 - 17:35
В действительно надежной схеме должен обязательно присутствовать элемент, который может выполнить только человек и только локально, физически, руками. Но это же является и слабым местом, потому что такая схема не может быть полностью автоматизирована. На любой регламент у нас рано или поздно забивают.
   MWWRuza
 
39 - 19.10.20 - 17:50
(0) Как для отдельных *.exe файлов нашел его выключать, как для *.bat найти не могу.

Это конечно не решение сабжевой проблемы, но, так, к сведению, для решения процитированной ее части - скомпилировать bat в exe, никакой проблемы нет. Например прогой: CMD2EXE. Ищется в сети на раз. Как-то давно, уже не помню для чего, пользовался. Ехе-шники получаются вполне себе рабочие.
   dmpl
 
40 - 19.10.20 - 18:35
(0) Схемы не помогут от человека. Он вычислит, когда машины включаются - и зашифрует. Поможет только накопитель типа WORM.
   NorthWind
 
41 - 19.10.20 - 22:24
(25) а если айпи, с которого должны ходить, динамический? Когда речь про коронавирусную удаленку, то так оно и будет - дома редко кто за статику приплачивает, и айпи вполне могут меняться при любой перезагрузке домашнего роутера или сами по себе, по желанию провайдера.
   Йохохо
 
42 - 19.10.20 - 22:32
(41) покупаем 10 "роутеров" по 100р в "домашнем" регионе)
   Eeeehhhh
 
43 - 19.10.20 - 23:02
А зачем выключать бекап сервер? Тем более, если он "забирает"? В Win2016 по дефолту все из вне закрыто, он даже не виден в сети. Бекап сервер (под него можно заюзать любой ноут) выносишь вне домена. Меняешь имя дефолтюзера. Ставишь дикий пароль со сменой раз в месяц. Профит.
   Tarlich
 
44 - 19.10.20 - 23:30
(41) ВПН не предлагать ?
   Tarlich
 
45 - 19.10.20 - 23:33
(41) ... микротик авторизация по мак адресу...
   Йохохо
 
46 - 19.10.20 - 23:52
(45) "по мак адресу" в локалке то зачем?) лучше eth3 и запереть микротик
   lodger
 
47 - 20.10.20 - 01:41
(17) наделить сервер бекапов ультимативным свойством - вообще никому нельзя с ним "разговаривать" из локали.
никаких удалёнок, рдп и лан-сервисов, доступ в ОС только физический через мышь и клаву.
   Web00001
 
48 - 20.10.20 - 02:19
Простые правила, чтобы спать спокойно и не надо было включать выключать жесткие диски(если уж хакер зашел на сервер и видит по расписанию когда происходит бекап, почему он не может дождаться включения диска или сервера и все там стереть?) и заниматься прочей ерундой.
1. Сервер не торчит голым РДП наружу(неизвестно зачем вообще это может быть нужно). Если использовать vpn с сертификатом, то подобрать пароль не выйдет.
2. Бекапы падают на сервер где происходит хранение истории. Например на ЯД или на своем отдельном сервере можно настроить хранение истории. В таком случае если хакер получит доступ к бекапам, он удалит или зашифрует только текущие версии файлов. Всегда можно будет поднять незашифрованную версию или версию до удаления.
   Web00001
 
49 - 20.10.20 - 02:35
(32)wireguard говорят очень хорош в этом плане. Знакомый говорил что замечал, что скорость не падает а увеличивается даже немного под ним. хз как это работает.
   MadHead
 
50 - 20.10.20 - 04:08
(49) Wireguard - быстро в работе, но не проверенно временем и не так легко в настройке. Накладные расходы очень низкие. В случае с openvpn накладные расходы могут быть 60-70% от пропускной способности физической сети.
   hhhh
 
51 - 20.10.20 - 04:48
(48) насчет ЯД вы зря написали. Хакер же тоже читает мисту. В следующий раз он обязатнльно еще и на ЯД бекапы зашифрует.
   vis_tmp
 
52 - 20.10.20 - 06:00
(50)>60-70%
Из-за чего так много?
   Креветос
 
53 - 20.10.20 - 06:28
(0) Зашифрует внешний диск во время бекапа, как только он подключится. Шифровальщики отлавливают моменты подключения жестких дисков специально для этого.
   kumena
 
54 - 20.10.20 - 07:25
>  Используя какую-то там уязвимость создал себе пользователя с админскими правами. А потом все внимательно изучил и зашифровал разделы нужных дисков.

Фокус с подменой заставки экрана, которая запускалась от админа, исправили еще на каком-то из сервис паков win 2000.
А можно узнать, что за уязвимость?
   stopa85
 
55 - 20.10.20 - 08:34
(20) потому что топик стартер хочет обезопасить бекапы путем отключения HDD, а не предотвратить вторжение в будущем.
Я тоже для сервера резервного копирования держу отдельный "контур безопастности". Ну т.е. взлом инфраструктуры не есть взлом этого сервера. Вполне логичное решение. В учебниках об этом пишут.
   Web00001
 
56 - 20.10.20 - 08:38
(50)Вроде как в настройке просто добавить ключи и тунель поднялся. Вся настройка. На тему не проверен временем, он уже добавлен в ядро линукс, я думаю достаточно проверен.
(51)В этом вся мысль, что историю файлов удалить не получится. Ну зашифрует он бекапы, поднял историю когда этот файл не был зашифрован. На этом все.
   Web00001
 
57 - 20.10.20 - 08:43
(55)Уязвимость всегда одна - RDP шлюз. Хакеры используют уязвимости, подбирают пароли (не будут пользователю создавать логин пароль плана ww8ZNGMdR2g6GY30LBQO - iYrtvd5dxP51A5xTaxX6 будет наверняка проще) речь о том, чтобы убрать эту проблему, тогда может быть и штатной защиты папки с бекапами путем настройки прав будет достаточно. В учебниках не пишут, что если дыра известна, то надо ее закрыть в первую очередь или это не логично?
   Шоколадный глаз
 
58 - 20.10.20 - 08:43
(0) Запускай cmd.exe, пусть он запускает .bat
   stopa85
 
59 - 20.10.20 - 09:01
(57) Почему одна-то? Их тысячи! Еще через web-сервера, например, взламывать популярно очень. Безопасность - тема бездонная.

Но топик стартер спросил про hdd и защиту бекапов. А не про защиту RDP.
   hhhh
 
60 - 20.10.20 - 09:36
(56) непонятно, чем поможет. Если например сегодня зашифровал. История состоит из двух дат: вчера все файлы были незашифрованы, сегодня все файлы зашифрованы.
 
 Рекламное место пустует
   NorthWind
 
61 - 20.10.20 - 11:49
Странно, очень странно. Про то что через RDP вся эта жопота происходит - разговоры идут с конца девяностых и они вообще не утихали. Тем не менее люди все равно выставляют терминальные серверы в инет. Какой смысл читать и писать, если все равно никто не слушает и не принимает к сведению? Единственный рабочий вариант - VPN, ежу ведь понятно, им и надо заниматься. По крайней мере пока вам не надо у себя на площадке чего-то еще наружу открывать не надо.
   NorthWind
 
62 - 20.10.20 - 11:54
(44) да уже лет 8 как. Другие варианты попросту не рассматривались, если нужен доступ снаружи - только через VPN, всякая хрень вроде почт и сайтов - средствами сторонних хостинг-провайдеров, пусть они разгребают если чо.
   johnnik
 
63 - 20.10.20 - 12:07
Лично я RDP соединения дополнительно защищаю белым списком на роутере, т.е. зайти на сервак по RDP можно только с того IP, которому это разрешено. Ну и на точках, откуда заходят, обязательно нужен статический IP, но это терпимые затраты на безопасность. Ну и роутер по удаленке не админится, а только локально. Неудобно, зато безопасно. Конечно, роутер  - это не D-Link dir-300, а нечто посерьезнее. Но в крупных компаниях обычно есть деньги на какой-нибудь приличный микротик
   NorthWind
 
64 - 20.10.20 - 14:32
(63) это удобно если из офисов коннект нужен. Если телекомьютеры-удаленщики из дома ходят, то я не очень понимаю, как их заставить себе фиксированный IP сделать. А если домашний инет отвалится и он решит себе на комп с телефона инет раздать?
   NorthWind
 
65 - 20.10.20 - 14:36
у меня вот случай был - девушка из больницы через ноут и мобилу VPNом подключалась. С ребенком лежала.
   kumena
 
66 - 20.10.20 - 16:18
> Лично я RDP соединения дополнительно защищаю белым списком на роутере, т.е. зайти на сервак по RDP можно только с того IP, которому это разрешено.

У вас все работники купили по белому ip дома?  А как быть если срочно нужно зайти что-то исправить, под рукой только телефон?
   Web00001
 
67 - 20.10.20 - 16:23
(59)История всегда одна. Каким то образом проникли через РДП торчащий безответственно наружу без какой либо защиты. Может стоить убрать причину а не следствие?
(60)Нет никаких дат. Ты сделал бекап и залил его в облако. В облаке есть версия номер раз. Потом пришел хакер и зашифровал твои бекапы в облаке. А потом их удалил. А потом закниул на их место свои файлы с таким же именем и снова их зашифровал. У тебя есть доступ к любой версии. И к той которую закинул именно ты не зашифрованную. Что тут может быть непонятного?
   mistеr
 
68 - 22.10.20 - 12:06
   mistеr
 
69 - 22.10.20 - 12:08
(67) Мы говорим о targeted атаке, которую выполняет человек с мозгами, а не скрипт. Он находит пароль к облаку в скриптах бэкапа или где он там лежит, заходит в облако и удаляет незашифрованные бэкапы.

Идеальной защиты нет и не будет.
   sitex
 
70 - 22.10.20 - 13:13
(0) Что ему мешает про мониторить и посмотреть как работает ваша сеть изнутри. Те же диски вкл или выкл он также увидит и просто затрет все за раз. Выход такой себе. Просто надо настроить все грамотно один раз и все, чтоб не было проникновения.
   sitex
 
71 - 22.10.20 - 13:23
(61) Да просто тут кто как настраивает RDP . Кто то через жопу и получает -> что ТС написал. А можно сделать RDP хоть через двухфакторную аутентификацию (смс, ключи генерации, токены , рутокены и т.д.)  количеством попыток входа, с кучей всяких настроек, сторонним софтом.  И все будет работать как часы и на долго.


Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.