Уважаемые пользователи и партнеры. Подготовили рекомендации по устранению и предотвращению атак на ЛК абитуриента 1С:Университет ПРОФ.

1. «Рекомендации по устранению уязвимости» + 2. «Рекомендации по общему обеспечению безопасности ресурса»
Расследованием инцидента продолжаем заниматься, по мере появления уточнений будем держать Вас в курсе.

Еще раз напоминаем о необходимости постоянного контроля и обеспечения безопасности Вашего интернет сайта/портала. Рекомендации приведенные в части 2 «по общему обеспечению безопасности ресурса» рекомендованы как лучшие практики при настройке большинства веб сервисов/сайтов. Настоятельно рекомендуем придерживаться лучших практик при настройке/эксплуатации ваших ресурсов. При отсутствии возможности провести настройку самостоятельно, рекомендуем обратиться к профильным специалистам/компаниям по информационной безопасности.

1 Рекомендации по устранению уязвимости
1.1 В части исполняемых файлов Портала вуза
1.1.1 Провести сверку структуры каталогов и файлов Портала вуза, при подозрении на модификацию каталогов и файлов портала восстановить структуру каталогов и файлов Портала вуз из комплекта поставки
1.1.2 Удалить файл установщика портала /frontend/web/install.php. После удаления необходимо из сети интернет проверить доступ к “/frontend/web/install.php”, корректный ответ сервера ошибка 404.
1.1.3 Удалить содержимое папки /frontend/web/install/

1.2 Проверить корректность информации (корректность указания данных для доступа к серверам) в файле .env (/.env)
1.2.1 Организовать доступ к файлу .env только на чтение

1.3 Действия по смене паролей
1.3.1 Сменить пароли admin (root) на серверах 1С, БД, web-сервере ЛК
1.3.2 Сменить пароли SSH для web-сервера ЛК поступающего
1.3.3 Сменить пароли для учетной записи «1С:Предприятие», указанной в файле .env ЛК поступающего, а также все другие пароли, прописанные в файле .env.
1.3.4 Сменить пароли для доступа к БД Портала вуза, к БД «1С:Университет ПРОФ»
1.3.5 Сменить пароли для каких-либо учетных записей, через которые возможно управление системой “1С:Университет ПРОФ”
1.3.6 Использовать различные парольные комбинации для различных систем

1.4 Действия в части сетевой активности
1.4.1 Заблокировать доступ на сетевых экранах к IP 65.108.229.198, 178.20.44.106
1.4.2 Заблокировать доступ в ИС с иностранных IP-адресов
1.4.3 Ограничить доступ к службам и портам SSH, rdp, ftp, с белого списка доверенных ip адресов.
1.4.3.1 Отказаться от использования систем удаленного администрирования, например, teamviewer, radmin, ammyadmin, dameware, anydesk
1.4.3.2 В части SSH организовать доступ по ключам
1.4.4 Ужесточение политик на периметральном оборудовании.
1.4.4.1 Закрыть доступ к портам SMB (139, 445)
1.4.4.2 Запретить внешние соединения к СУБД (например, портов: 3306(mysql, mariaDB), 5432)

1.5 Действия в части организации мониторинга
1.5.1 В части увеличения времени/размера хранения журналов событий
1.5.1.1 ОС Windows увеличить размер журнала security до 2Гб (выполнить команду в системе с правами администратора wevtutil.exe sl SECURITY /ms:2100000000)
1.5.1.2 Увеличить время хранения журналов занимающих длительное время (медленные запросы) к базе данных до 6 месяцев (пример для mysql /var/log/mysql/mysql-slow.log)

1.6 Действия в части управления операционными системами
1.6.1 Отключить стандартные (предустановленные) учетные записи операционные записи операционных системы (admin, root, и пр.). Оставить только персонифицированные учетные записи
1.6.2 Проверить наличие установленного антивирусного решения. При отсутствии установить и обновить сигнатурные базы.

2 Рекомендации по общему обеспечению безопасности ресурса
2.1 Действия в части организации мониторинга
2.1.1 Организовать мониторинг повторного появления файла/frontend/web/install.php. после его удаления
2.1.2 Организовать мониторинг создания или модификации файлов php после 01.06.2023 не предусмотренных типовой поставкой. Создание или модификация файлов является подозрительной активностью. В случае появления таких файлов организовать взаимодействие с фирмой “1С” по анализу таких файлов.
2.1.2.1 Отслеживать появление файлов error.php и sleep.php (error.php, отличающиеся даты установки портала)
2.1.3 Организовать мониторинг файла .env на предмет изменений и оповещение администраторов системы об изменениях в этих файлах
2.1.4 Установить мониторинг изменений файла .env с аллертами на изменение файла и на попытку доступа на запись к файлу
2.1.5 Отслеживать события 4625 в журнале C:\Windows\System32\winevt\Logs\security.evtx (в windows) и блокировать подключения зафиксированных IP адресов
2.1.6 Организовать мониторинг и ведение журналов о попытках доступа с указанных адресов
2.1.7 Увеличить внимание на оповещения средств систем защиты информации WAF, антивирусного решения, IDS/IPS(Система обнаружения вторжений).
2.1.8 Отслеживать подозрительную активность в планировщиках задач windows и linux систем

2.2 Действия в части сетевой активности
2.2.1 При наличии FTP сервера, перейти к использованию SFTP.
2.2.2 Ужесточение политик на периметральном оборудовании, в частности политики межсетевого экрана
2.2.3 Рассмотреть возможность внедрения двухфакторной аутентификации для администрирования и управления системами (токен, e-mail, смс)
2.2.4 По возможности блокировать IP адреса VPN ресурсов предоставляющих IP адреса иностранным пользователям сети интернет, например, 178.20.44.106 (организация предоставляет сервера в аренду и не является федеральным оператором связи) и пр.

2.3 Действия в части управления операционными системами
2.3.1 Установить последние обновления имеющегося программного обеспечения, в том числе операционных систем
2.3.2 По возможности развести серверы таким образом, чтобы базы данных размещались на отдельном сервере от сервера приложений “1С:Университет ПРОФ” и Портала вуза