Найти злоумышленника.... / Windows

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Windows [игнор отключен] [закрыт для гостей] / Найти злоумышленника....

23 сообщений из 23, страница 1 из 1

Найти злоумышленника....

#34128314

Megazoid

Участник

Откуда: Киев

Сообщения: 103

Рейтинг: 0 / 0

Доброго времени суток.

У меня ситуация :

В сети завелся какой-то умник, который меняет имя компьютера и ИП-адрес на статический, а потом меняет обратно (для доступа к Инету).
В сети работает ДХЦП.
На утро в ДНС видно что был комп с именем Компьютер1 и ИП-адресом 192.168.0.Х.
На фаерволе статистика в пару Гигабайт по етому компу.
Как мне вычислить МАК- адрес этого компа.

Если бы написать батник который таблицу ИП-адресов и МАК-адресов записывал в файл, тогда бы я запускал шедулером его и за сутки промониторил бы кто меняет.

Скажите какая команда.
Или может есть еще идеи. Я могу и грубыми методами ограничить всех, но хотелось бы найти негодяя...

...

Рейтинг:

0 / 0

14.11.2006, 18:28

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34128354

miksoft

Участник

Сообщения: 36 746

Рейтинг: 0 / 0

Можно посмотреть текущий MAC-адрес компа, которому выдан конкретный ip-адрес в управлении DHCP.

Можно сделать
ping 192.168.0.1
arp -a

...

Рейтинг:

0 / 0

14.11.2006, 18:43

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34128861

aleks2

Участник

Сообщения: 12 453

Рейтинг: 0 / 0

MegazoidДоброго времени суток.

У меня ситуация :

В сети завелся какой-то умник, который меняет имя компьютера и ИП-адрес на статический, а потом меняет обратно (для доступа к Инету).
В сети работает ДХЦП.
На утро в ДНС видно что был комп с именем Компьютер1 и ИП-адресом 192.168.0.Х.
На фаерволе статистика в пару Гигабайт по етому компу.
Как мне вычислить МАК- адрес этого компа.

Если бы написать батник который таблицу ИП-адресов и МАК-адресов записывал в файл, тогда бы я запускал шедулером его и за сутки промониторил бы кто меняет.

Скажите какая команда.
Или может есть еще идеи. Я могу и грубыми методами ограничить всех, но хотелось бы найти негодяя...

А ты не провоцируй людей, скотина... Сис. админ называется.
Выпускай по парольной авторизации - и все станут честными.
А искать дураков станет легше.
---------------------------
:Cycle
arp -a >>arp.log
sleep 1000
goto :Cycle

...

Рейтинг:

0 / 0

15.11.2006, 03:57

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34128862

aleks2

Участник

Сообщения: 12 453

Рейтинг: 0 / 0

Ах да.. ты наверное не знаешь... MAC адрес в современных карточках/Ос-ях менять не сложнее чем IP.

...

Рейтинг:

0 / 0

15.11.2006, 03:59

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34128868

Di_LIne

Участник

Откуда: Тропик Скорпиона

Сообщения: 48 256

Рейтинг: 0 / 0

MegazoidНа утро в ДНС видно что был комп с именем Компьютер1 и ИП-адресом 192.168.0.Х.
На фаерволе статистика в пару Гигабайт по етому компу.

На фаере - запрети выход с любых IP вне диапазона ДХЦП.

зы: ДХЦП - зло от мелкомягких, имхо конечно...

...

Рейтинг:

0 / 0

15.11.2006, 04:34

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34128916

Green2

Участник

Сообщения: 14 172

Рейтинг: 27 / 0

Код: plaintext

1.
2.
3.
4.

del c:\name.txt
for /L %%d in ( 1 , 1 , 255 ) do ping -n  1  -w  100   192 . 168 . 0 .%%d >> c:\name.txt && nbtstat -A  192 . 168 . 0 .%%d >> c:\name.txt
date /t >> c:\name.txt
time /t >> c:\name.txt

у меня есть такой файл и perl скрипт для его разбора где-то завалялся...
--

...

Рейтинг:

0 / 0

15.11.2006, 06:49

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34138404

Megazoid

Участник

Откуда: Киев

Сообщения: 103

Рейтинг: 0 / 0

Добрый день.
Решил не заводить новую ветку, так как вопрос остается тотже, а только методы другие...

В общем нашел я кто качает с нета по 5-8 гигабайт за сутки...
Сменил все пароли (локальные тоже).
У пользователя привилегий ни каких нету, только права пользователя домена.
Так он запускает утилиту PWLtool и смотрит пароль локального админа. Потом меняет настройки сети и как-то умудряется минуя аутентификацию на ISA 2004 качать фильмы (может с помощью дополнительного софта).

Как бороться ?
Спасибо.
_____________________
У меня контролер домена 2003,
ISA 2004.

...

Рейтинг:

0 / 0

18.11.2006, 12:36

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34138409

mayton

Участник

Откуда: loopback

Сообщения: 53 422

Рейтинг: 2 / 0

MegazoidТак он запускает утилиту PWLtool и смотрит пароль локального админа. Потом меняет настройки сети и как-то умудряется минуя аутентификацию на ISA 2004 качать фильмы (может с помощью дополнительного софта).

Я думаю, у тебя скоро будет замечательный опыт поиска уязвимостей своей сетки.

А с этим пользователем обязательно подружись. Тебе есть чему у него поучиться.

...

Рейтинг:

0 / 0

18.11.2006, 12:46

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34138428

Megazoid

Участник

Откуда: Киев

Сообщения: 103

Рейтинг: 0 / 0

Да... уж.... скоро мне тогда со всеми дружить прийдется , когда он расскажет корешам как научился айпишники менять...

...

Рейтинг:

0 / 0

18.11.2006, 13:06

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34138595

Anatoly Podgoretsky

Участник

Сообщения: 63 997

Рейтинг: 0 / 0

авторКак бороться ?
Увольнять.

...

Рейтинг:

0 / 0

18.11.2006, 16:36

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34138639

mayton

Участник

Откуда: loopback

Сообщения: 53 422

Рейтинг: 2 / 0

Anatoly Podgoretsky авторКак бороться ?
Увольнять.
А за что?

2 Мегазоид
А что нарушил пользователь "X", изменив IP-шник, и скачав что-то?

То-есть имеются ли вообще основания для его наказания?

Я почему спрашиваю... э.... в нашей организации довольно часто возникали подобные спорные ситуации. Их удалось разрулить только после того, как был детально проработан механизм включения самого пользователя в корп. сетку (заполнение бланка служебной записки на подключение, где указаны права, квоты и т.п., расписка о неразглашении, правильном использовании, акт и т.п).

Может быть стоит подойти с юридической стороны этого вопроса?

В противном случае, можно получить эскалацию конфликта со всеми вытекающими (скандалы, доносы, взаимные обвинения и.т.д)

С уважением
mayton

P.S. Не ради флейма сказал!!

...

Рейтинг:

0 / 0

18.11.2006, 17:19

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34138650

aleks2

Участник

Сообщения: 12 453

Рейтинг: 0 / 0

MegazoidДобрый день.
Решил не заводить новую ветку, так как вопрос остается тотже, а только методы другие...

В общем нашел я кто качает с нета по 5-8 гигабайт за сутки...
Сменил все пароли (локальные тоже).
У пользователя привилегий ни каких нету, только права пользователя домена.
Так он запускает утилиту PWLtool и смотрит пароль локального админа. Потом меняет настройки сети и как-то умудряется минуя аутентификацию на ISA 2004 качать фильмы (может с помощью дополнительного софта).

Как бороться ?
Спасибо.
_____________________
У меня контролер домена 2003,
ISA 2004.

Увольнять канешна нужно... только администратора, а не пользователя.
-------------------------------
Этож смех
"как-то умудряется ... с помощью дополнительного софта".
"запускает утилиту PWLtool и смотрит пароль локального админа".
Не пользователь, а прям суперПользователь.

...

Рейтинг:

0 / 0

18.11.2006, 17:38

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34138684

Anatoly Podgoretsky

Участник

Сообщения: 63 997

Рейтинг: 0 / 0

авторА за что?

2 Мегазоид
А что нарушил пользователь "X", изменив IP-шник, и скачав что-то?
А зачем он искал и ограничивал?
Видимо есть основания, так что телегу на стол рукодителю и копию специалисту по безопасности. Иначе его действия были не понятны.

...

Рейтинг:

0 / 0

18.11.2006, 18:43

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34139078

Guset

Гость

Megazoid
В общем нашел я кто качает с нета по 5-8 гигабайт за сутки...
Сменил все пароли (локальные тоже).
У пользователя привилегий ни каких нету, только права пользователя домена.
Так он запускает утилиту PWLtool и смотрит пароль локального админа. Потом меняет настройки сети и как-то умудряется минуя аутентификацию на ISA 2004 качать фильмы (может с помощью дополнительного софта).

1) На контроллере домена запустить оснастку :ПОЛИТИКА БЕЗОПАСНОСТИ КОНТРОЛЛЕРА ДОМЕНА (хотя по сути можно и для организационного юнита указать)-ПАРАМЕТРЫ БеЗОПАСНОСТИ-ЛОКАЛЬНЫЕ ПОЛИТИКИ-ПАРАМЕТРЫ БЕЗОПАСНОСТИ-"ИНТЕРАКТИВНЫЙ ВХОД В СИСТЕМУ:КОЛИЧЕСТВО ПРЕДЫДУЩИХПОДКЛЮЧЕНИЙ К КЭШУ..." - указать параметр скажем =1

2) Если у вас на одном компьютере работает только один пользователь (да и не только)
можете прописать в оснастке ПОЛЬЗОВЕТЕЛИ И КОМПЬЮТЕРЫ в свойствах ПОЛЬЗОВАТЕЛЯ на вкладке УЧЕТНАЯ ЗАПИСЬ-ВХОД НА... только на указанные компьютеры и указать имя компьютера на котором сей пользователь может логиниться

3) А чтобы даже если преодолеет и это (хотя врядли) опять же задать еще политику в групповой политике - КОНФИГУРАЦИЯ КОМПЬЮТЕРА-КОНФИГУРАЦИЯ WINDOWS-ПАРАМЕТРЫ БЕЗОПАСНОСТИ-ГРУППЫ С ОГРАНИЧЕННЫМ ДОСТУПОМ - и тут указать группу АДМИНИСТРАТОРЫ и кто в нее должен входить (на том локальном компе) и тогда, кого бы локально не внесли/удалили бы в группу администраторы - политика будет удалять/добавлять в соотвествии с тем как задали вы.

Ну и конечно все эти меры прекрасно, но их надо делать в сочетании с теми административно-организационными, которые вам указали остальные участники

...

Рейтинг:

0 / 0

19.11.2006, 12:00

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34139166

Biz©

Участник

Откуда: Snezhinsk

Сообщения: 5 700

Рейтинг: 0 / 0

...

Рейтинг:

0 / 0

19.11.2006, 14:17

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34139284

aleks2

Участник

Сообщения: 12 453

Рейтинг: 0 / 0

Biz© MegazoidТак он запускает утилиту PWLtool и смотрит пароль локального админа. Потом меняет настройки сети и как-то умудряется минуя аутентификацию на ISA 2004 качать фильмы (может с помощью дополнительного софта).
у пользователя - Win9x ?

Думаешь у него и ISA2004 на Win9x стоит?
-----------------
ну пользователю то простительно не знать, что проще ESC нажать вместо "запускает утилиту PWLtool и смотрит пароль локального админа"...

...

Рейтинг:

0 / 0

19.11.2006, 16:30

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34139414

kkv

Участник

Откуда: Москва

Сообщения: 18 949

Рейтинг: 0 / 0

MegazoidУ пользователя привилегий ни каких нету, только права пользователя домена.
Так он запускает утилиту PWLtool и смотрит пароль локального админа. Потом меняет настройки сети и как-то умудряется минуя аутентификацию на ISA 2004 качать фильмы (может с помощью дополнительного софта).
Офигительно, мелкософт со всей его братией, полностью побежден. Хакеры всех стран, соединяйтесь! Ушли в небытие многолетние разработки экспертов по информационной безопасности. Как все, оказывается, просто! Чтобы узнать админский пароль, нужно всего-лишь навсего, запустить какую-то программку. Я, конечно, не сисадмин, но что-то мне подсказывает, что узнать админский пароль с помощью каких-либо программ вряд ли получится.

P.S. Может все гораздо проще? Может этоn юзер просто знает админский пароль?
P.S.S А не попробовать ли сменить пароль админа?! Кто знает, может и поможет...

С уважением, kkv

...

Рейтинг:

0 / 0

19.11.2006, 18:36

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34139626

Biz©

Участник

Откуда: Snezhinsk

Сообщения: 5 700

Рейтинг: 0 / 0

kkv.
если вы не админ, то што вас сподвигло ваще писать што-либо в таком духе ? имхо в треде уже есть всё для понимания величины "административного вакуума" в конторе автора треда и направлений выхода из ситуации ...

...

Рейтинг:

0 / 0

19.11.2006, 23:12

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34139787

Green2

Участник

Сообщения: 14 172

Рейтинг: 27 / 0

Megazoid>он запускает утилиту PWLtool и смотрит пароль локального админа.
Утилита работает на Win98, а для неё нет проблем войти под админом

Megazoid>умудряется минуя аутентификацию на ISA 2004 качать фильмы
Этот вопрос поподробнее, может он посадил вам трояна или нашел какую нибудь
дыру?

--

Posted via ActualForum NNTP Server 1.3

...

Рейтинг:

0 / 0

20.11.2006, 07:41

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34139816

Biz©

Участник

Откуда: Snezhinsk

Сообщения: 5 700

Рейтинг: 0 / 0

Green2
Megazoid>он запускает утилиту PWLtool и смотрит пароль локального админа.
Утилита работает на Win98, а для неё нет проблем войти под админом

Megazoid>умудряется минуя аутентификацию на ISA 2004 качать фильмы
Этот вопрос поподробнее, может он посадил вам трояна или нашел какую нибудь
дыру?

када админ не знает проблематики работы в сети вин9х, то думаю подкованный узер давно уже ломанул немалое кол-во пользовательских паролей ... вплоть до пароля админа домена, например ...
это же перекликается с проблемой раздачи паролей локальных админов и удалённого администрения под аккаунтом доменного админа без подчистки профиля ...

...

Рейтинг:

0 / 0

20.11.2006, 08:16

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34139962

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

дак тогда подключить к сети ноут с 98 окнами, с мак адресом подправленым , вместо стационарного компа и мона делать всё что угодно?

...

Рейтинг:

0 / 0

20.11.2006, 09:48

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34145906

Megazoid

Участник

Откуда: Киев

Сообщения: 103

Рейтинг: 0 / 0

Добрый день.

Спасибо всем, критику принял. Жестокая реальность...
Опыта по безопасности у меня нет.

Guestу, особое спасибо - реально помогло !!!
Уже 3-и дня как трафик не превышает 300 мегабайт, компов около 50.

mayton правильно говорит- нужно решать проблему в комплексе, нужны методы.

Административные методы уже начал разрабатывать, очень помогли документы с сайта ww.networkdoc.ru

Если кто-то знает где есть статьи по организации безопасности (например была серия статей в журнале PCWeek но найти немогу), выложите ссылку.
Спасибо.

...

Рейтинг:

0 / 0

22.11.2006, 10:52

| Ответить | Цитировать | Написать

Найти злоумышленника....

#34145930

Megazoid

Участник

Откуда: Киев

Сообщения: 103

Рейтинг: 0 / 0

По поводу взлома паролей вот ссылка:
http://bugtraq.ru/library/security/passwords.html
Статья с описанием методов.
Внизу статьи есть рекомендации администраторам разных ОС.

...

Рейтинг:

0 / 0

22.11.2006, 10:56

| Ответить | Цитировать | Написать

23 сообщений из 23, страница 1 из 1

Форумы / Windows [игнор отключен] [закрыт для гостей] / Найти злоумышленника....

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=26&msg=34139284&tid=1508912]:	0ms
get settings:	5ms
get forum list:	9ms
check forum access:	2ms
check topic access:	2ms
track hit:	149ms
get topic data:	7ms
get forum data:	2ms
get page messages:	46ms
get tp. blocked users:	1ms
others:	216ms

total:	439ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы