---
title: Отчёт об инциденте ИБ — атака на сервер 1С (LionART)
date: 2026-06-29
recipient: Юрий Витальевич (руководитель ММФБ)
author: Батлаев О., ИТ-сопровождение
tags: [mmfb, lionart, security, incident, report]
---

# ОТЧЁТ ОБ ИНЦИДЕНТЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

| | |
|---|---|
| **Кому** | Руководителю ММФБ — Юрию Витальевичу |
| **От кого** | Батлаев О., ИТ-сопровождение |
| **Дата** | 29 июня 2026 г. |
| **Объект** | Сервер 1С (LionART, Windows Server 2022) |
| **Тип события** | Атака из интернета (подбор паролей) → отказ резервного копирования |

---

## 1. Кратко (главное)

С **25 по 28 июня** сервер 1С подвергался непрерывной автоматизированной атаке из интернета — **подбору паролей** к учётной записи администратора с множества серверов по всему миру.

- ✅ **Взлома не произошло.** Несанкционированного доступа не было, данные 1С не скомпрометированы.
- ⚠️ **Побочный ущерб:** из-за защитной блокировки учётной записи перестала работать служба резервного копирования — **копии не создавались 3 дня (25–28 июня)**. Более ранние резервные копии сохранены.
- ✅ **Угроза устранена 28 июня.** Атака заблокирована, резервное копирование восстановлено, настроены круглосуточный мониторинг и оповещения.

На текущий момент сервер работает штатно, угроза нейтрализована, ведётся автоматический контроль.

---

## 2. Что произошло

У сервера 1С есть служебные сетевые «двери» (порты) платформы «1С:Предприятие»:
- **1540** — агент сервера 1С (ragent);
- **1541** — менеджер кластера 1С (rmngr);
- **1560–1591** — рабочие процессы 1С.

1. На пограничном маршрутизаторе эти порты были **открыты в интернет** — исторически, для обмена данными с сайтом frame.ru.
2. Эту открытость обнаружили злоумышленники. С **десятков арендованных серверов** (хостинги в Болгарии, России и др.) шёл массовый перебор паролей к учётной записи `Администратор`.
3. Защита Windows при 10 неверных попытках **блокирует учётную запись** на 10 минут. Атака добивала этот порог **каждые ~10 минут круглосуточно**.
4. Под этой же учётной записью работает служба резервного копирования **Effector Saver**. Пока запись заблокирована — служба не стартует. Итог: **резервные копии не выполнялись с 25 по 28 июня**.

### Почему именно сейчас (триггер)
По журналам сервера: утром 25.06 бэкапы ещё проходили; к **15:12 25.06** учётная запись уже была заблокирована — ровно в момент **перезапуска сервера 1С** (Event 7036, «1C:Enterprise 8.3 Server Agent» → «работает», 15:13). На сервере две версии платформы (`8.3.27.1936` → работает `8.3.27.2214`) — **обновление 1С 24–25 июня подтверждается**.

Вывод: обновление/перезапуск 1С стало **спусковым крючком** — после перезапуска открытые наружу порты кластера снова «ожили», и боты нашли их за часы. **Само обновление не виновато** — оно лишь активировало давно существовавшую уязвимость (открытые в интернет порты 1С).

---

## 3. Был ли взлом? Оценка ущерба

**Признаков взлома НЕ обнаружено** (проверено по журналам безопасности Windows):

- **0 успешных входов** со стороны атакующих за 48 часов. Парадоксально, но автоматическая блокировка учётной записи **защитила** сервер — не дала подобрать пароль.
- Посторонних учётных записей, программ-закладок, подозрительных служб — **не найдено**.
- Данные 1С и резервные копии — **не затронуты**.

**Единственный реальный ущерб** — отсутствие свежих резервных копий за 25–28 июня (3 дня).

---

## 4. Первопричина

Служебные порты сервера 1С были напрямую доступны из интернета. Это создавало сразу два риска: подбор паролей (что и реализовалось) и потенциальное удалённое исполнение кода (порты кластера 1С — известная цель атак).

---

## 5. Принятые меры (28 июня)

1. **Атака заблокирована на маршрутизаторе.** Доступ к портам 1С оставлен **только для сервера сайта frame.ru**; весь остальной интернет к этим портам — запрещён.
2. **Восстановлены учётная запись и резервное копирование.** Запись разблокирована, служба запущена, копирование возобновлено.
3. **Настроен автоматический «сторож».** Независимый сервер каждые 10 минут проверяет резервное копирование и состояние учётной записи; при сбое — сам восстанавливает работу и присылает оповещение в Telegram и на корпоративную почту.
4. **Подключены отчёты о бэкапах.** Ежедневная сводка о выполнении резервного копирования отправляется на корпоративную почту `support@dttb.ru`.

---

## 6. Текущий статус

- Сервер 1С работает штатно, резервное копирование возобновлено.
- Атака продолжается из интернета, но **полностью блокируется** на маршрутизаторе (см. приложение — отбито свыше 342 000 вредоносных пакетов).
- Число блокировок учётной записи снизилось с **6–7 в час до практически нуля**.
- Мониторинг и оповещения работают круглосуточно.

---

## 7. Закрытие портов — ВЫПОЛНЕНО (29 июня)

После аудита маршрутизатора **закрыт весь лишний доступ из интернета** (проверено с внешнего хоста):

| Закрыто 🔒 | Было открыто на |
|---|---|
| RDP **3389** | пользовательский ПК «KOMPUTER» |
| SSH **22, 2222** | служебные хосты |
| Админка роутера **winbox 7777 / 8291** | MikroTik |
| Панель **Proxmox 8006** | гипервизор |
| Админка **NPM 81** | прокси |
| **PPTP 1723**, **8007** | прочее |

Управление роутером (SSH/winbox/web) дополнительно ограничено: принимается **только из локальной сети и VPN**. Сайты (80/443) и защищённые VPN-каналы — работают. Итог: **всё администрирование — только через VPN, прямого доступа из интернета нет.**

Рекомендация на будущее:

🔴 **Порты 1С — 1540, 1541, 1560–1591** (сервер 1С `10.253.1.240`) сейчас прикрыты «белым списком» (только сайт frame.ru). Финально — убрать из интернета совсем, обмен с сайтом перевести на защищённый канал.

🟠 **Тот же класс риска — тоже закрыть/ограничить** (выявлено на маршрутизаторе):
- **3389 (удалённый рабочий стол RDP)** → ПК `10.253.1.10` — частая цель атак;
- **8006 (панель Proxmox)** → `10.253.1.200`, **81 (админка сетевого шлюза)** → `10.253.1.25` — административные интерфейсы;
- **22 / 2222 (SSH)** → `.49`/`.205`, **1723 (устаревший VPN PPTP)** → `.40` — пересмотреть необходимость.

✅ **Принцип:** доступ ко всем служебным/административным интерфейсам — **только через защищённый VPN** (NetBird), не напрямую из интернета. Наружу оставить лишь то, что действительно должно быть публичным (сайты — 80/443).

**Организационно:**
- Рассмотреть перенос резервных копий с внешнего облака (Microsoft OneDrive) на собственное хранилище компании.
- Усиление и регулярная смена пароля администратора.

---

*Подготовил: Батлаев О., ИТ-сопровождение. 29.06.2026.*

---
---

# ПРИЛОЖЕНИЕ. Технические доказательства

### A. Источники атаки (выборка, по данным whois)

| IP-адрес / сеть | Принадлежность |
|---|---|
| 94.26.88.0/24, 94.26.68.0/24 | Razinet Dedicated Servers, **Болгария** (арендованные серверы) |
| 185.56.162.72 | Hosting-VDS, РФ |
| 217.74.38.154 | DataFort LLC, РФ |
| 38.253.156.213 | Cogent (магистральный провайдер) |
| 154.57.197.99 | анонимный хостинг (ARIN) |
| 95.68.225.46, 185.46.47.157, 212.23.222.71 | хостинг-провайдеры РФ/ЕС |

**Вывод:** трафик шёл с десятков арендованных серверов (хостинг/VDS), а не от реального пользователя — характерная картина автоматизированного перебора. Подбирались типовые служебные имена: `Administrator`, `1C`, `ADM1C`, `USER`, `SUPERUSER`, `88888888` и т. п.

### B. Объём заблокированной атаки (счётчики маршрутизатора, ~9 часов после блокировки)

| Правило защиты | Отбито пакетов |
|---|---|
| Блокировка болгарских сетей | **302 723** |
| Запрет прочих источников к портам 1С | **39 315** |
| **Итого** | **≈ 342 000 вредоносных пакетов** |

### C. Хронология блокировок учётной записи `Администратор` (журнал безопасности, событие 4740)

| Время | Блокировок |
|---|---|
| 28.06, 16:00–21:00 | по **6–7 в час** (атака активна) |
| 28.06, 22:00 | 2 (момент применения защиты) |
| 29.06, 07:00 | 1 (единичная остаточная) |

Контраст «до/после» наглядно показывает эффект защиты.

### D. Индикатор взлома (событие 4624 — успешные входы со стороны атаки)

**0 за 48 часов.** Несанкционированного доступа не было.

### E. Подтверждение простоя резервного копирования

Журнал задач Effector Saver: последний успешный прогон всех 6 задач — **25.06.2026**, следующий — после восстановления службы 28.06.

---
*Доказательная база сформирована из журналов безопасности Windows (события 4625/4740/4624), таблицы соединений и счётчиков пограничного маршрутизатора, данных whois и журнала задач Effector Saver. Детальные выгрузки доступны по запросу.*