|
Несанкционированное проникновение в сеть!
|
|
|
|
wabc |
Пятница, 25 Мая 2007, 14:33
|
Участник
Профиль
Группа: Участник
Сообщений: 7
Регистрация: 09.04.2002
Пользователь №: 1852
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Всем доброго времени суток! Прошу срочной помощи, ибо ситуация сложилась критическая! Ситуация: Я работаю сисадмином, у меня есть помощник. Месяц назад прежний сисадмин уволился, а его помощник перешел работать в другое подразделение (это важно!). Имеется локальная сеть, поднят Active Directory. На сервере установлена Windows 2003 Server. На рабочих станциях - Windows XP. Права админов только у меня и у моего помощника. Неделю назад мы с моим помощником обнаружили, что в сети начали происходить нехорошие "чудеса": - самопроизвольно удаляются профили пользователей (причем, по иронии судьбы - самых скандальных!), - блокируются файлы, - самопроизвольно изменяются права доступа пользователей (те общие папки на сервере, к которым у какого-нибудь пользователя раньше был свободный доступ, вдруг таинственным образом становятся недоступны). - даже админу становится недоступен просмотр журнала безопасности в "Управление компьютером". Причем, самое забавное в том, что при просмотре системного журнала выясняется, что сделано это было либо под моим логином, либо под логином моего помощника!!! Но бред заключается в том, что время этих действий часто указывается такое, когда мы просто физически отсутствовали в офисе!!! Я-то знаю про себя, что не удалял профиля, не блокировал файлы! Но при исследовании журналов в AD обнаружена странная вещь. Учетная запись вроде бы моя, но код входа исполнителя на "стремных" действиях - другой! Вопросы: 1. Что вообще происходит? 2. Могут ли пользователи, лишенные прав админов, производить подобные действия, используя некие "дыры" в системе безопасности? 3. Как вычислить злоумышленников? 4. Как защититься от подобных действи? Помогите!!!
|
|
|
|
|
Барэль |
Пятница, 25 Мая 2007, 15:32
|
Впередсмотрящий
Профиль
Группа: WinCity Team
Сообщений: 6383
Регистрация: 08.11.2001
Из: Санкт-Петербург, Россия
Пользователь №: 633
Конфигурация
Корпус: CM Centurion 534 + 850W Zalman Процессор: Другой Материнская плата: ASUS M4A79XTD EVO Оперативная память: Samsung - 2x2048 Mb DDR3 PC10600 Видеокарта: 1024 Mb Asus Radeon HD5770 Жесткий диск (винчестер): 250 Gb Seagate SATA (системный) + 2 Tb Seagate LP SATA + 2 Tb Seagate LP SATA Дисковод: 3.5" CD/DVD: Nec 4570 DVD+-RW Модем: -- Сетевой адаптер: OnBoard Звуковая плата: OnBoard Монитор: 22 Samsung SyncMaster P2250 Операционная система: Windows XP Прочее: Акустическая система Microlab Solo 1, UPS APC CS500, МФУ Canon MP800, Cooler CoolerMaster (CM) V8, Процессор AMD Phenom II 945
|
Проверь всех пользователей на возможность запуска под админом. Также неплохо поискать какие-нибудь снифферы и прочее. Если не впадлу, переподними домен... Я бы сделал это с нуля (домен). Ну и первое дело - замена ВСЕХ паролей
--------------------
Вот. Винда проставилась. И даже уже BSOD выдала. Значит, работает! На всякий случай, воспользуйтесь поиском
|
|
|
|
|
yozh |
Пятница, 25 Мая 2007, 17:07
|
Ведущий
Профиль
Группа: WinCity Team
Сообщений: 2409
Регистрация: 06.09.2002
Из: Петербург/Штутгарт
Пользователь №: 3321
Конфигурация
Корпус: Compaq nx8220 PY518ET Процессор: Другой Материнская плата: HP 82915PM/GM/GMS Оперативная память: DDR2-SDRAM 1024 Mb Samsung M4 70T2953BY0-CD5 Видеокарта: ATI Mobility Radeon X600 128MB Жесткий диск (винчестер): ST9808211A, 75Gb Дисковод: Нет дисковода CD/DVD: MATSHITA DVD-RAM UJ-832S Модем: Agere Systems AC'97 Сетевой адаптер: Broadcom NetXtreme Gigabit + Intel PRO/Wireless 2200BG Звуковая плата: Intel 82801FB ICH6 - AC'97 Монитор: 15,4'' TFT, SWXGA (1680 x 1050) Операционная система: WinXPProGerSP2,Slackware 11.0,FreeDOS Beta9 Прочее: HP LaserJet 1000, HP ScanJet 2400
|
Ты б автостарт и список процессов посмотрел - может, старый админ трояна оставил и рулит им?
|
|
|
|
|
wabc |
Понедельник, 28 Мая 2007, 12:43
|
Участник
Профиль
Группа: Участник
Сообщений: 7
Регистрация: 09.04.2002
Пользователь №: 1852
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Проверил автостарт - все чисто. В списке процессов - все чисто!!! Но сегодня вообще цирк произошел: смотрю в AD группу админов - и бадлею: там некоторые личности прописаны (мамой клянусь - ни я, ни мой помощник этого не делали!!!) Причем, по иронии судьбы, там неожиданно оказался бывший помощник сисадмина (который перешел в совершенно другой отдел!) и ЕГО НАЧАЛЬНИК!!! МУЖИКИ, ПОМОГИТЕ!!! Как это им удается??? Может, в моем отделе есть засланный казачок???
|
|
|
|
|
Theridiidae |
Понедельник, 28 Мая 2007, 14:34
|
Участник
Профиль
Группа: Участник
Сообщений: 211
Регистрация: 14.02.2007
Из: Город Герой МОСКВА!
Пользователь №: 14030
Конфигурация
Корпус: -- Процессор: Другой Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: Нет дисковода CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Чудес реально не бывает... Проверяй сервер на наличие вирусов, и машину, с которой работаешь ты твой помощник. Те машины, где ты заходил под администратором...
|
|
|
|
|
Egor |
Понедельник, 28 Мая 2007, 17:25
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
wabc, аудит включить не судьба? Цитата(wabc @ Пятница, 25 Мая 2007, 14:33) что сделано это было либо под моим логином, либо под логином моего помощника Ты пароль, после этого менял? Локальных машин много? Доступ извне через что? Пользователи являются локальными админами?
|
|
|
|
|
NALIM |
Среда, 04 Июля 2007, 1:48
|
Участник
Профиль
Группа: Участник
Сообщений: 142
Регистрация: 25.02.2003
Из: Москва
Пользователь №: 5094
Конфигурация
Корпус: хз Процессор: Xeon Материнская плата: есть Оперативная память: есть Видеокарта: нет Жесткий диск (винчестер): нет Дисковод: 5.25" CD/DVD: а что это? Модем: тилифонный? Сетевой адаптер: нет Звуковая плата: нет Монитор: есть Операционная система: DOS Прочее: прочее
|
это наверное привет передаёт старый админ либо помощник шалит либо умник нашёлся
а пароли ты не сменил - зря
--------------------
не говорите мне что делать, и я не скажу вам куда идти .......
|
|
|
|
|
InDiViDuuM |
Среда, 11 Июля 2007, 11:30
|
Участник
Профиль
Группа: Участник
Сообщений: 8
Регистрация: 06.07.2007
Пользователь №: 16092
Конфигурация
Корпус: MC-K3 Процессор: Athlon 64 (socket 754/939/AM2) Материнская плата: Socket AM2 Asus M2V-MX Оперативная память: DDRII 512 PC2-6400 Видеокарта: Onboard 256 Mb Via Chrome9 HC IGP Жесткий диск (винчестер): Seagate SATA 160 Gb Дисковод: 3.5" CD/DVD: Asus DVD+-RW SATA Модем: DSL D-Link Сетевой адаптер: Onboard 10/100 Звуковая плата: Onboard 6ch Монитор: SyncMaster 753DF 17 Операционная система: Windiws Xp sp2 Прочее: Scaner Be@rPaw 2448CS Plus, UPS Mustek,
|
Удали лишних пользователей с АД.
--------------------
Умный человек - это не тот, чот владеет многими знаниями, а тот, кто умеет ими правильно пользоватся.
|
|
|
|
|
|
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
|
0 Пользователей:
|
|
© Copyright by WinCity.Ru 2001 - 2008 | Обратная связьУслуги веб-хостинга предоставлены компанией MTW.RU
|
|