Как нас взломали... или уносите бэкапы на флешке домой. Часть 2
В продолжении поста набравшего кучу плюсов.
Сразу отвечу на коменты о криворуком админе: да я косяк, проработав всего 2 месяца руки до безопасности не доходили, было и так дел до жопы, "так было заведено", кому мы нужны, короче много отмазов))
После случая с удалённым объектом было интересно, а что же происходит у меня под носом, тоже с дефолтным RDP во вне? 38 тысяч аудита отказа за 2 дня.... Логины конечно банальные, Admin, Administrator, Администратор, Касса, 11 и т.д.
Итак, что было сделано:
1. Перенесли удалённую базу 1с на мейнсервер, мощности ему хватит на всё, да и следить за 2я доменами сложнее, а так всё под боком.
2. OpenVPN с сертификатами, никаких открытых портов RDP. Сложности возникли при настройках на ПК работников из "вне". Тимвьювер ограничил время работы до 5и минут, пришлось ломаный ставить. Да и геморно это... Но оно того стоит.
3. Сервер с базой выведен из домена.
4. Бэкап делает сам NAS по ftp, даже взломав всё, доступ к NAS не будет.
5. NAS унесён подальше от серверной, а вдруг пожар, а налоговой надо отчёты. Короче при пожаре уцелеет один nas, ничего не останется, зато будут бэкапы =)
6. Смена всех паролей, на прежней работе отдел по защите информации всем меняли пароли раз в 3 месяца, и почему то в виде Y6EW92, т.е. 6 букв-цифр на капсе. Решил делать так же.
В планах осталось запилить 2 независимых канала инета, хз как это сделать, но надо)
Такие вот дела, не забывайте о безопасности :-) а то это обойдётся в круглую сумму)
P.S. Взломщик потом писал о том, что сдаст заказчика за 30к. Сам заказчик не доплатил всю сумму, и цель была не удалить всё, а лишь парализовать работу. Вот.