14 KiB
title, date, recipient, author, tags
| title | date | recipient | author | tags | |||||
|---|---|---|---|---|---|---|---|---|---|
| Отчёт об инциденте ИБ — атака на сервер 1С (LionART) | 2026-06-29 | Юрий Витальевич (руководитель ММФБ) | Батлаев О., ИТ-сопровождение |
|
ОТЧЁТ ОБ ИНЦИДЕНТЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
| Кому | Руководителю ММФБ — Юрию Витальевичу |
| От кого | Батлаев О., ИТ-сопровождение |
| Дата | 29 июня 2026 г. |
| Объект | Сервер 1С (LionART, Windows Server 2022) |
| Тип события | Атака из интернета (подбор паролей) → отказ резервного копирования |
1. Кратко (главное)
С 25 по 28 июня сервер 1С подвергался непрерывной автоматизированной атаке из интернета — подбору паролей к учётной записи администратора с множества серверов по всему миру.
- ✅ Взлома не произошло. Несанкционированного доступа не было, данные 1С не скомпрометированы.
- ⚠️ Побочный ущерб: из-за защитной блокировки учётной записи перестала работать служба резервного копирования — копии не создавались 3 дня (25–28 июня). Более ранние резервные копии сохранены.
- ✅ Угроза устранена 28 июня. Атака заблокирована, резервное копирование восстановлено, настроены круглосуточный мониторинг и оповещения.
На текущий момент сервер работает штатно, угроза нейтрализована, ведётся автоматический контроль.
2. Что произошло
У сервера 1С есть служебные сетевые «двери» (порты) платформы «1С:Предприятие»:
- 1540 — агент сервера 1С (ragent);
- 1541 — менеджер кластера 1С (rmngr);
- 1560–1591 — рабочие процессы 1С.
- На пограничном маршрутизаторе эти порты были открыты в интернет — исторически, для обмена данными с сайтом frame.ru.
- Эту открытость обнаружили злоумышленники. С десятков арендованных серверов (хостинги в Болгарии, России и др.) шёл массовый перебор паролей к учётной записи
Администратор. - Защита Windows при 10 неверных попытках блокирует учётную запись на 10 минут. Атака добивала этот порог каждые ~10 минут круглосуточно.
- Под этой же учётной записью работает служба резервного копирования Effector Saver. Пока запись заблокирована — служба не стартует. Итог: резервные копии не выполнялись с 25 по 28 июня.
Почему именно сейчас (триггер)
По журналам сервера: утром 25.06 бэкапы ещё проходили; к 15:12 25.06 учётная запись уже была заблокирована — ровно в момент перезапуска сервера 1С (Event 7036, «1C:Enterprise 8.3 Server Agent» → «работает», 15:13). На сервере две версии платформы (8.3.27.1936 → работает 8.3.27.2214) — обновление 1С 24–25 июня подтверждается.
Вывод: обновление/перезапуск 1С стало спусковым крючком — после перезапуска открытые наружу порты кластера снова «ожили», и боты нашли их за часы. Само обновление не виновато — оно лишь активировало давно существовавшую уязвимость (открытые в интернет порты 1С).
3. Был ли взлом? Оценка ущерба
Признаков взлома НЕ обнаружено (проверено по журналам безопасности Windows):
- 0 успешных входов со стороны атакующих за 48 часов. Парадоксально, но автоматическая блокировка учётной записи защитила сервер — не дала подобрать пароль.
- Посторонних учётных записей, программ-закладок, подозрительных служб — не найдено.
- Данные 1С и резервные копии — не затронуты.
Единственный реальный ущерб — отсутствие свежих резервных копий за 25–28 июня (3 дня).
4. Первопричина
Служебные порты сервера 1С были напрямую доступны из интернета. Это создавало сразу два риска: подбор паролей (что и реализовалось) и потенциальное удалённое исполнение кода (порты кластера 1С — известная цель атак).
5. Принятые меры (28 июня)
- Атака заблокирована на маршрутизаторе. Доступ к портам 1С оставлен только для сервера сайта frame.ru; весь остальной интернет к этим портам — запрещён.
- Восстановлены учётная запись и резервное копирование. Запись разблокирована, служба запущена, копирование возобновлено.
- Настроен автоматический «сторож». Независимый сервер каждые 10 минут проверяет резервное копирование и состояние учётной записи; при сбое — сам восстанавливает работу и присылает оповещение в Telegram и на корпоративную почту.
- Подключены отчёты о бэкапах. Ежедневная сводка о выполнении резервного копирования отправляется на корпоративную почту
support@dttb.ru.
6. Текущий статус
- Сервер 1С работает штатно, резервное копирование возобновлено.
- Атака продолжается из интернета, но полностью блокируется на маршрутизаторе (см. приложение — отбито свыше 342 000 вредоносных пакетов).
- Число блокировок учётной записи снизилось с 6–7 в час до практически нуля.
- Мониторинг и оповещения работают круглосуточно.
7. Закрытие портов — ВЫПОЛНЕНО (29 июня)
После аудита маршрутизатора закрыт весь лишний доступ из интернета (проверено с внешнего хоста):
| Закрыто 🔒 | Было открыто на |
|---|---|
| RDP 3389 | пользовательский ПК «KOMPUTER» |
| SSH 22, 2222 | служебные хосты |
| Админка роутера winbox 7777 / 8291 | MikroTik |
| Панель Proxmox 8006 | гипервизор |
| Админка NPM 81 | прокси |
| PPTP 1723, 8007 | прочее |
Управление роутером (SSH/winbox/web) дополнительно ограничено: принимается только из локальной сети и VPN. Сайты (80/443) и защищённые VPN-каналы — работают. Итог: всё администрирование — только через VPN, прямого доступа из интернета нет.
Рекомендация на будущее:
🔴 Порты 1С — 1540, 1541, 1560–1591 (сервер 1С 10.253.1.240) сейчас прикрыты «белым списком» (только сайт frame.ru). Финально — убрать из интернета совсем, обмен с сайтом перевести на защищённый канал.
🟠 Тот же класс риска — тоже закрыть/ограничить (выявлено на маршрутизаторе):
- 3389 (удалённый рабочий стол RDP) → ПК
10.253.1.10— частая цель атак; - 8006 (панель Proxmox) →
10.253.1.200, 81 (админка сетевого шлюза) →10.253.1.25— административные интерфейсы; - 22 / 2222 (SSH) →
.49/.205, 1723 (устаревший VPN PPTP) →.40— пересмотреть необходимость.
✅ Принцип: доступ ко всем служебным/административным интерфейсам — только через защищённый VPN (NetBird), не напрямую из интернета. Наружу оставить лишь то, что действительно должно быть публичным (сайты — 80/443).
Организационно:
- Рассмотреть перенос резервных копий с внешнего облака (Microsoft OneDrive) на собственное хранилище компании.
- Усиление и регулярная смена пароля администратора.
Подготовил: Батлаев О., ИТ-сопровождение. 29.06.2026.
ПРИЛОЖЕНИЕ. Технические доказательства
A. Источники атаки (выборка, по данным whois)
| IP-адрес / сеть | Принадлежность |
|---|---|
| 94.26.88.0/24, 94.26.68.0/24 | Razinet Dedicated Servers, Болгария (арендованные серверы) |
| 185.56.162.72 | Hosting-VDS, РФ |
| 217.74.38.154 | DataFort LLC, РФ |
| 38.253.156.213 | Cogent (магистральный провайдер) |
| 154.57.197.99 | анонимный хостинг (ARIN) |
| 95.68.225.46, 185.46.47.157, 212.23.222.71 | хостинг-провайдеры РФ/ЕС |
Вывод: трафик шёл с десятков арендованных серверов (хостинг/VDS), а не от реального пользователя — характерная картина автоматизированного перебора. Подбирались типовые служебные имена: Administrator, 1C, ADM1C, USER, SUPERUSER, 88888888 и т. п.
B. Объём заблокированной атаки (счётчики маршрутизатора, ~9 часов после блокировки)
| Правило защиты | Отбито пакетов |
|---|---|
| Блокировка болгарских сетей | 302 723 |
| Запрет прочих источников к портам 1С | 39 315 |
| Итого | ≈ 342 000 вредоносных пакетов |
C. Хронология блокировок учётной записи Администратор (журнал безопасности, событие 4740)
| Время | Блокировок |
|---|---|
| 28.06, 16:00–21:00 | по 6–7 в час (атака активна) |
| 28.06, 22:00 | 2 (момент применения защиты) |
| 29.06, 07:00 | 1 (единичная остаточная) |
Контраст «до/после» наглядно показывает эффект защиты.
D. Индикатор взлома (событие 4624 — успешные входы со стороны атаки)
0 за 48 часов. Несанкционированного доступа не было.
E. Подтверждение простоя резервного копирования
Журнал задач Effector Saver: последний успешный прогон всех 6 задач — 25.06.2026, следующий — после восстановления службы 28.06.
Доказательная база сформирована из журналов безопасности Windows (события 4625/4740/4624), таблицы соединений и счётчиков пограничного маршрутизатора, данных whois и журнала задач Effector Saver. Детальные выгрузки доступны по запросу.