关于畅捷通 T+ 文件上传漏洞（0day）

接到好几个想要恢复数据的，但是办不了

用友的问题，这种情况应该找用友公司索赔。国内的两家 ERP 厂商为了老的 C/S 平台的软件能继续割韭菜，强行利用 远程应用虚拟化软件将 C/S 转为 云应用，实际上只是 Remote APP ，且安全性基本没有，应用虚拟化软件都是第三方开发的。最愚蠢的是，国内的金蝶和用友都要求客户部署的服务器需要联网（时不时有个许可在线认证），愚蠢到极致，一个公司最重要的 ERP 服务器必须要求联网才能正常使用，简直无语。

数据没有备份的话 除了被勒索毫无办法
但是网安部门一般建议不要付款给勒索者 这样勒索犯罪会更多

@thtznet 我们是为了给两地的财务人员同时用，账套开了不到 1 年，但是重新补录也是不小的工作量

@kokyang123 如果你是正版用户，正常索赔就行了，补录的工作量该请人请人，人天结算，拿着发票上庭索赔就行了。这个事情中间作为用户你没有一点错误，该谁承担责任就谁承担，不然我付费买正版软件做啥？

被加密了基本没有其他办法 号称解密的其实也都是黑产一条龙

就是 java 那个 log4j 的漏洞吧，我们也中招了。。。。

畅捷通第二天出了个补丁，然后没下文了。。。

是的 ，中招了

@thtznet 不愚蠢，实时在线才能在国内反盗版，不这么干只剩盗版

@hiro0729 @gearfox @lazyrm 我们的服务器现在只剩下 Microsoft SQL Server 这个文件夹没有被加密，还有没有机会恢复，但是畅捷通账套的数据库文件好像是在 X:\Chanjet\TPlusStd\DBServer 。

用友的致远 OA 也是频繁有安全漏洞，还不能自动升级，或者一键升级修补，人都麻了,生怕哪天就中招了。

对于这种 web 端，还要映射到外网供任何人在任何地方连接的，太恐怖了。

漏洞简单到令人发指，就是绕过认证+任意文件上传 估计早就有相关利用了，只是最近才被利用到黑产上。
备份才是王道

@fengjianxinghun 事实上，该盗还是盗版，防不了，盗版的预防只能通过业务模式的创新，靠技术去防盗版是没有前途的，例如 SAP 有盗版么？也许有，但是行业内很少听说吧，因为 SAP 的价值不在软件本身而在业务实施，这个东西它盗版不了。国内的 ERP 厂商营销思路还没转过来（但是他们心理清楚，只是很难调头）。

应该不止你们一家被黑，全国影响范围 10 万+。上安全产品吧，缩减你们公司的暴露面吧。

见过一个本地行业内流行的 ERP 是把 sa 密码简单变换后写到每台电脑的客户端的 ini 文件里，由客户端使用 sa 权限直连数据库

@mercury233 传统操作。。还有券商客户端这么干的。。

部署在自己服务器上，应该安全是自己负责。
套个 VPN 不麻烦吧？作为操作人员也就多一步操作。

@sampeng 无法部署在自己服务器上的，这个架构设计成最终用户是连厂商的服务器（公网），然后厂商的服务器会和你买的部署在自己服务器的 ERP 软件有个保持连接的通道，最终用户通过厂商的服务器连接跳转获取你自己内网 ERP 服务器上的数据。想出这种方案的人的确是有商业头脑的，把客户绑得死死的，你想脱离厂商自己搞都不行，必须每年交钱，号称云服务。但是实际的 ERP 数据确是在你内网的服务器上的，对厂商来说又省去了资源消耗最大的计算环节。鬼才啊。但是对客户来说是什么呢？客户的 ERP 服务器相当于永久开着一个内网穿透代理给 ERP 厂商，客户的网络防火墙做得再完善也挡不住这种架构的入侵。

吐槽一下。打电话给畅捷通客服统一口径，都是客户的原因，我们的软件很安全，因为我们自己云上的用户没有影响
这次攻击是无差别攻击等等。
哎，
感觉以后针对行业软件的攻击应该少不了，留个坑。