Добрый день, сегодня с утра обнаружил, что на win server не запускается 1с.
Некоторые папки архивированы + текстовый файл для получения пароля обращайтесь на почту.
От sql сервера от пользователя sa сменили пароль + что то с базами сделали.
Помогите понять как произошло данное пришествие. И как обезопасить себя на будущее.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) konstantinz, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Если выставлен наружу терминальный доступ к серверу, не используются сертификаты, VPN, блокировка после 3-4 неудачных попыток входа по RDP на через политики не установлена, к тому же используются словарные имена пользователей - Sergey, Diana, Администратор, MSSQLSERVER, все они имеют права на удалённый доступ, да ещё и права администратора - взлом с печальными последствиями - только вопрос времени.
Мануалов на тему "как защитить RDP подключение" в интернете полно, да и журналы системы и безопрсности просматривать стоит, наверняка можно было заподозрить нехорошее задолго до.
После переустановки sql все заработало, а с утра уже в sql server под пользователем sa не заходит, под аккаунтов вин тоже не пускает.
"При входе в систему пользователя "sa" произошла ошибка.... 18456"
Архиваций нет, все базы доступны. Как найти эту редиску?
Взломщик каким-то образом блокирует учетную запись sa
Я создал новый аккаунт с правами админа в sql по истечению 20 минут, и данный аккаунт заблокирован.
(если зайти в свойства пользователя - состояние - Проверка подлинности sql server, стоит галочка "Имя для входа заблокировано")
- - - - -Добавлено - - - - -
в дополнение.
Настроил план бекапа - пустил его и все...
Аккаунт заблокирован