niikn: Finland VPS 78.17.4.225 лёг 2026-06-29 — весь обход (Claude/TG/WA) down, VM остановлена на Spaceweb; обновлён статус в памяти

projects/mmfb/reports/2026-06-29-отчёт-инцидент-атака-1с.md

@@ -0,0 +1,167 @@
+---
+title: Отчёт об инциденте ИБ — атака на сервер 1С (LionART)
+date: 2026-06-29
+recipient: Юрий Витальевич (руководитель ММФБ)
+author: Батлаев О., ИТ-сопровождение
+tags: [mmfb, lionart, security, incident, report]
+---
+
+# ОТЧЁТ ОБ ИНЦИДЕНТЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
+
+| | |
+|---|---|
+| **Кому** | Руководителю ММФБ — Юрию Витальевичу |
+| **От кого** | Батлаев О., ИТ-сопровождение |
+| **Дата** | 29 июня 2026 г. |
+| **Объект** | Сервер 1С (LionART, Windows Server 2022) |
+| **Тип события** | Атака из интернета (подбор паролей) → отказ резервного копирования |
+
+---
+
+## 1. Кратко (главное)
+
+С **25 по 28 июня** сервер 1С подвергался непрерывной автоматизированной атаке из интернета — **подбору паролей** к учётной записи администратора с множества серверов по всему миру.
+
+- ✅ **Взлома не произошло.** Несанкционированного доступа не было, данные 1С не скомпрометированы.
+- ⚠️ **Побочный ущерб:** из-за защитной блокировки учётной записи перестала работать служба резервного копирования — **копии не создавались 3 дня (25–28 июня)**. Более ранние резервные копии сохранены.
+- ✅ **Угроза устранена 28 июня.** Атака заблокирована, резервное копирование восстановлено, настроены круглосуточный мониторинг и оповещения.
+
+На текущий момент сервер работает штатно, угроза нейтрализована, ведётся автоматический контроль.
+
+---
+
+## 2. Что произошло
+
+У сервера 1С есть служебные сетевые «двери» (порты) платформы «1С:Предприятие»:
+- **1540** — агент сервера 1С (ragent);
+- **1541** — менеджер кластера 1С (rmngr);
+- **1560–1591** — рабочие процессы 1С.
+
+1. На пограничном маршрутизаторе эти порты были **открыты в интернет** — исторически, для обмена данными с сайтом frame.ru.
+2. Эту открытость обнаружили злоумышленники. С **десятков арендованных серверов** (хостинги в Болгарии, России и др.) шёл массовый перебор паролей к учётной записи `Администратор`.
+3. Защита Windows при 10 неверных попытках **блокирует учётную запись** на 10 минут. Атака добивала этот порог **каждые ~10 минут круглосуточно**.
+4. Под этой же учётной записью работает служба резервного копирования **Effector Saver**. Пока запись заблокирована — служба не стартует. Итог: **резервные копии не выполнялись с 25 по 28 июня**.
+
+### Почему именно сейчас (триггер)
+По журналам сервера: утром 25.06 бэкапы ещё проходили; к **15:12 25.06** учётная запись уже была заблокирована — ровно в момент **перезапуска сервера 1С** (Event 7036, «1C:Enterprise 8.3 Server Agent» → «работает», 15:13). На сервере две версии платформы (`8.3.27.1936` → работает `8.3.27.2214`) — **обновление 1С 24–25 июня подтверждается**.
+
+Вывод: обновление/перезапуск 1С стало **спусковым крючком** — после перезапуска открытые наружу порты кластера снова «ожили», и боты нашли их за часы. **Само обновление не виновато** — оно лишь активировало давно существовавшую уязвимость (открытые в интернет порты 1С).
+
+---
+
+## 3. Был ли взлом? Оценка ущерба
+
+**Признаков взлома НЕ обнаружено** (проверено по журналам безопасности Windows):
+
+- **0 успешных входов** со стороны атакующих за 48 часов. Парадоксально, но автоматическая блокировка учётной записи **защитила** сервер — не дала подобрать пароль.
+- Посторонних учётных записей, программ-закладок, подозрительных служб — **не найдено**.
+- Данные 1С и резервные копии — **не затронуты**.
+
+**Единственный реальный ущерб** — отсутствие свежих резервных копий за 25–28 июня (3 дня).
+
+---
+
+## 4. Первопричина
+
+Служебные порты сервера 1С были напрямую доступны из интернета. Это создавало сразу два риска: подбор паролей (что и реализовалось) и потенциальное удалённое исполнение кода (порты кластера 1С — известная цель атак).
+
+---
+
+## 5. Принятые меры (28 июня)
+
+1. **Атака заблокирована на маршрутизаторе.** Доступ к портам 1С оставлен **только для сервера сайта frame.ru**; весь остальной интернет к этим портам — запрещён.
+2. **Восстановлены учётная запись и резервное копирование.** Запись разблокирована, служба запущена, копирование возобновлено.
+3. **Настроен автоматический «сторож».** Независимый сервер каждые 10 минут проверяет резервное копирование и состояние учётной записи; при сбое — сам восстанавливает работу и присылает оповещение в Telegram и на корпоративную почту.
+4. **Подключены отчёты о бэкапах.** Ежедневная сводка о выполнении резервного копирования отправляется на корпоративную почту `support@dttb.ru`.
+
+---
+
+## 6. Текущий статус
+
+- Сервер 1С работает штатно, резервное копирование возобновлено.
+- Атака продолжается из интернета, но **полностью блокируется** на маршрутизаторе (см. приложение — отбито свыше 342 000 вредоносных пакетов).
+- Число блокировок учётной записи снизилось с **6–7 в час до практически нуля**.
+- Мониторинг и оповещения работают круглосуточно.
+
+---
+
+## 7. Закрытие портов — ВЫПОЛНЕНО (29 июня)
+
+После аудита маршрутизатора **закрыт весь лишний доступ из интернета** (проверено с внешнего хоста):
+
+| Закрыто 🔒 | Было открыто на |
+|---|---|
+| RDP **3389** | пользовательский ПК «KOMPUTER» |
+| SSH **22, 2222** | служебные хосты |
+| Админка роутера **winbox 7777 / 8291** | MikroTik |
+| Панель **Proxmox 8006** | гипервизор |
+| Админка **NPM 81** | прокси |
+| **PPTP 1723**, **8007** | прочее |
+
+Управление роутером (SSH/winbox/web) дополнительно ограничено: принимается **только из локальной сети и VPN**. Сайты (80/443) и защищённые VPN-каналы — работают. Итог: **всё администрирование — только через VPN, прямого доступа из интернета нет.**
+
+Рекомендация на будущее:
+
+🔴 **Порты 1С — 1540, 1541, 1560–1591** (сервер 1С `10.253.1.240`) сейчас прикрыты «белым списком» (только сайт frame.ru). Финально — убрать из интернета совсем, обмен с сайтом перевести на защищённый канал.
+
+🟠 **Тот же класс риска — тоже закрыть/ограничить** (выявлено на маршрутизаторе):
+- **3389 (удалённый рабочий стол RDP)** → ПК `10.253.1.10` — частая цель атак;
+- **8006 (панель Proxmox)** → `10.253.1.200`, **81 (админка сетевого шлюза)** → `10.253.1.25` — административные интерфейсы;
+- **22 / 2222 (SSH)** → `.49`/`.205`, **1723 (устаревший VPN PPTP)** → `.40` — пересмотреть необходимость.
+
+✅ **Принцип:** доступ ко всем служебным/административным интерфейсам — **только через защищённый VPN** (NetBird), не напрямую из интернета. Наружу оставить лишь то, что действительно должно быть публичным (сайты — 80/443).
+
+**Организационно:**
+- Рассмотреть перенос резервных копий с внешнего облака (Microsoft OneDrive) на собственное хранилище компании.
+- Усиление и регулярная смена пароля администратора.
+
+---
+
+*Подготовил: Батлаев О., ИТ-сопровождение. 29.06.2026.*
+
+---
+---
+
+# ПРИЛОЖЕНИЕ. Технические доказательства
+
+### A. Источники атаки (выборка, по данным whois)
+
+| IP-адрес / сеть | Принадлежность |
+|---|---|
+| 94.26.88.0/24, 94.26.68.0/24 | Razinet Dedicated Servers, **Болгария** (арендованные серверы) |
+| 185.56.162.72 | Hosting-VDS, РФ |
+| 217.74.38.154 | DataFort LLC, РФ |
+| 38.253.156.213 | Cogent (магистральный провайдер) |
+| 154.57.197.99 | анонимный хостинг (ARIN) |
+| 95.68.225.46, 185.46.47.157, 212.23.222.71 | хостинг-провайдеры РФ/ЕС |
+
+**Вывод:** трафик шёл с десятков арендованных серверов (хостинг/VDS), а не от реального пользователя — характерная картина автоматизированного перебора. Подбирались типовые служебные имена: `Administrator`, `1C`, `ADM1C`, `USER`, `SUPERUSER`, `88888888` и т. п.
+
+### B. Объём заблокированной атаки (счётчики маршрутизатора, ~9 часов после блокировки)
+
+| Правило защиты | Отбито пакетов |
+|---|---|
+| Блокировка болгарских сетей | **302 723** |
+| Запрет прочих источников к портам 1С | **39 315** |
+| **Итого** | **≈ 342 000 вредоносных пакетов** |
+
+### C. Хронология блокировок учётной записи `Администратор` (журнал безопасности, событие 4740)
+
+| Время | Блокировок |
+|---|---|
+| 28.06, 16:00–21:00 | по **6–7 в час** (атака активна) |
+| 28.06, 22:00 | 2 (момент применения защиты) |
+| 29.06, 07:00 | 1 (единичная остаточная) |
+
+Контраст «до/после» наглядно показывает эффект защиты.
+
+### D. Индикатор взлома (событие 4624 — успешные входы со стороны атаки)
+
+**0 за 48 часов.** Несанкционированного доступа не было.
+
+### E. Подтверждение простоя резервного копирования
+
+Журнал задач Effector Saver: последний успешный прогон всех 6 задач — **25.06.2026**, следующий — после восстановления службы 28.06.
+
+---
+*Доказательная база сформирована из журналов безопасности Windows (события 4625/4740/4624), таблицы соединений и счётчиков пограничного маршрутизатора, данных whois и журнала задач Effector Saver. Детальные выгрузки доступны по запросу.*