• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Понято кто удалил документы

  • Автор темы iki
  • Дата начала
I

iki

Из базы бесследно исчезла часть документов. (база согласования все доки привязаны к внешним карточкам в других базах)

Внешние карточки остались связи по служебным полям тоже. Документы в базе согласования исчезли. Стабов нет. Поиск по UNID'у выдает "инвалид унид". В базах логов записей нет.

Такое ощущение что кто-то накосячил и случаенно каким-нибудь ScanEZ'ом поделитил документы. Вопрос: можно ли найти кто?
 
ToxaRat

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
а в юзер детайлах что нибудь есть?
 
K

Klido

недавно тему обсуждали... надо знать несколько вещей: кто может удалять документы и как удаление могло произойти...
iki сказал(а):
случаенно каким-нибудь ScanEZ'ом поделитил документы
Нажмите, чтобы раскрыть...
сразу становится ясно, что есть группа лиц, которые могут юзать спецсофт на соответствующем уровне....
Смотрите user details и log.nsf в части интересующего момента времени..

в базе надо иметь как минимум корзину и включить soft deletetion - часто можно помочь...
 
R

RAJ

а случайно на базе формулу репликации не устанавливали?
 
I

iki

Log.nsf не поможет. Так как:
1. Не понятно на каком именно сервере удалили документы
2. Не ясно точное время удаления. Интервал - неделя. Баз на сервере много.

Юзеры не могут удалять документы. Все удаления на пользовательском уровне происходят так doc.replaceitemvalue("deleted","1")+ запись в лог.

Да есть группа администраторов у которых есть права на удаления и спец софт. Грешу на них. Но как проверить...

user details хранится только за текущий день.

Видимо всетаки при данных условиях миссия не выполнима..
 
H

hosm

ну, еще можно бы глянуть бекапы, если имелись таковые =)
 
K

Klido

бэкапная схема какая? исследуя. можно время определить примерно... понять кто работал в те дни ну и т.д. Понятно, восстановить доки из бэкапа...


OKEN - мыслим в унисон с точностью до минуты :)
 
I

iki

Документы в бэкапах есть. Проблемма не в этом. Восстановить если потребуется восстановим (Там не храниться ничего важного что нельзя перекрепить\пересоздать руками, так что поднимтаь бэкапы не требуеться.. покрайней мере пока (сколько именно доков поделители не ясно. Пока что всплыло около 10) ). Пытаюсь выяснить причину и\или найти виноватых. Делаются каждые 3 дня. Исследовать несколько и найти более мелкий интервал(±3 дня) можно - но смысл.. Темболее это связано с большим оформленческим гемороем.
 
K

Klido

корзина пустая? агенты-мусорщики есть?
 
I

iki

Следов документа в базе нет вообще. Агенты мусорщики есть. Проверял их первым делом. Но видимо это не они,
так как:
1. Смотрел код и там вроде все ок (Очень маловерятно что удаленные документы могли удовлетворять условиям физического удаления)
2. Агенты оставляют стабы.

Что подразумеваете под корзиной?
 
I

iki

Увы я не могу изменять настройки рабочих баз
 
K

Klido

iki
поставить задачу админам...
ну а что там в АЦЛ? реально если группы указаны серверов - достаточно правильно ввести чужие всервера в группы текущего домена...
 
ToxaRat

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
что-то вы тут явно не договариваете или не туда смотрите
если удалять документы ScanEz с указанием не создавать стаб, то документ при следующей репликации тут же появится в текущей базе, так как отсутствие стаба воспринимается репликатором как новый документ
я бы смотрел в сторону правил репликации или SpaceSaver в настройках реплики
 
I

iki

отсутствие стаба воспринимается репликатором как новый документ
Нажмите, чтобы раскрыть...
Об этом как-то не подумал. Спасибо

Репликацию посмотрел там вроде все норм.
Похоже сам себя перемудрил. Наверно всетаки надо упорнее искать косячный агент. Похоже стабы просто пропали по давности (возможно ошибся с примерными сроками удаления). Буду думать.
 
Constantin A Chervonenko

Constantin A Chervonenko

Green Team
30.05.2006
1 345
12
BIT
0
ToxaRat сказал(а):
..если удалять документы с указанием не создавать стаб, то документ при следующей репликации тут же появится в текущей базе..
Нажмите, чтобы раскрыть...
Чуть-чуть не так.
Если зачистить историю - удалённые док-ты действительно восстановятся из соседней реплики. Или - если оригинал будет обновлён в соседней реплике.
Иначе - нет
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ