kot488 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Попалась сегодня контора, куда то пропали все файлы с сервера. На диске только файл lockdir.exe и изображение Выход есть.png, к серверу открыто подключение по RDP, есть мысль что к нему кто то подключился из вне и попросту снес. в логах безопасности вот такой сеанс каждые 30 сек.   Доверенный процесс входа в систему зарегистрирован локальным администратором безопасности. Этому процессу будет доверено представление запросов на вход в систему.      Процесс входа в систему:    Winlogon\MSGina   Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".   Сейчас закрыл доступ по рдп, настраиваю впн. Как можно просмотреть кто конектился по рдп и с какого IP шло подключение? Всего записей: 1629 | Зарегистр. 31-10-2006 | Отправлено: 11:23 20-04-2015

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Если кто-то подключается по РДП, то он имеет логин и пароль. Имеет привилегии такого входа. Найти на отдельном сервере -гвопрос. Посмотреть, кто имеет такие привилегии и заблокировать По ВПН взломать сеть гораздо проще. Оставить закладочку, которую вы не найдете. Как оставить? Да изнутри, на работе. Если уж сжижены привелегии. то они сжижены. И оставить закладку... Дело техники. Уровень домена? ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 11:32 20-04-2015

kot488 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Если кто-то подключается по РДП, то он имеет логин и пароль. Имеет привилегии такого входа. Найти на отдельном сервере -гвопрос. Посмотреть, кто имеет такие привилегии и заблокировать   По ВПН взломать сеть гораздо проще. Оставить закладочку, которую вы не найдете. Как оставить? Да изнутри, на работе. Если уж сжижены привелегии. то они сжижены. И оставить закладку... Дело техники.     Какую закладку имеете ввиду?     Добавлено: Оставил доступ по РДП, доступ по рдп дал только одной учетке, что еще можно придумать что бы обезопасить себя? И как отловить того кто это наделал? Всего записей: 1629 | Зарегистр. 31-10-2006 | Отправлено: 11:39 20-04-2015

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Извините, но это моё как бы ноу-хау. Пока непонятно, что у вас за домен, как с наружи приходят.... Можно же черех Длинк, а можно через ТМГ, а можно просто воткнуть сервер наружу.... Что за сервер-то? Почему только РДП? Изнутри наверняка есть обычный доступ без всяких там... Если кто-то завладел привилегиями, а я, так понимаю, вы думаете на это. Например сотрудник записал логин пароль на мониторе и пошел в столовую... Не бывает? Сплошь и рядом. То всем менять пароли и всё. Дело в том, что РДП шифруется по ССЛ, и он ни чем не хуже. Если же я могу изнутри набрав \\server\C$ и зайти, то при чем здесь РДП? Вас могут иметь изнутри, вирусами, безответственными действиями, разгильдяйством на рабместе.... Да мало ли чем? А с РДП очень просто. Есть юзеры, которые могут получать доступ, админы в тч. Просто меняют пароли и всё   Добавлено: Цитата: что еще можно придумать что бы обезопасить себя? И как отловить того кто это наделал? Можно посмотреть в сторону аудита, но там будет столько логов, что, обычно, под их анализ пишется отделный сложный софт. А если это зараженная машина? Вы её прилюдно казните. Настраивайте сеть. Без конфига больше ничего сказать, ответственно сказать, больше ничего нельзя.   Добавлено: Цитата: Оставил доступ по РДП, доступ по рдп дал только одной учетке Достаточно было сменить пароли Всём Приказом. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 12:09 20-04-2015

kot488 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Извините, но это моё как бы ноу-хау. Пока непонятно, что у вас за домен, как с наружи приходят.... Можно же черех Длинк, а можно через ТМГ, а можно просто воткнуть сервер наружу....   Что за сервер-то? Почему только РДП? Изнутри наверняка есть обычный доступ без всяких там...   Если кто-то завладел привилегиями, а я, так понимаю, вы думаете на это. Например сотрудник записал логин пароль на мониторе и пошел в столовую... Не бывает? Сплошь и рядом. То всем менять пароли и всё.   Дело в том, что РДП шифруется по ССЛ, и он ни чем не хуже.   Если же я могу изнутри набрав \\server\C$ и зайти, то при чем здесь РДП? Вас могут иметь изнутри, вирусами, безответственными действиями, разгильдяйством на рабместе.... Да мало ли чем?   А с РДП очень просто. Есть юзеры, которые могут получать доступ, админы в тч. Просто меняют пароли и всё   Почему то первая в голову мысль пришла именно о рдп, а потом посоображав что удалены файлы только на одном сервера где лежит 1С, и почитав о файле lockdir.exe выяснил что это обычный вирус, который больше всего что попал на ящик от кого то, хотя к серверу подключаются только через рдп и работают там терминально. В всей сети стоит кашпер, с проверкой всех дисков на выходных, но он нечего не нашел( Всего записей: 1629 | Зарегистр. 31-10-2006 | Отправлено: 12:17 20-04-2015 | Исправлено: kot488, 12:21 20-04-2015

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ну.., вам надо прятать чёрную бухгалтерию, ибо неизвестно. где она теперь. Надо научится гугить. Вам найти этот файл не оставляло труда в течение 5 минут. Надо найти зараженную машину и вылечить. Надо отправить файл на вирустотал и посмотреть, кто и что скажет. Соответственно избрать антивирусную защиту Надо исключить прием исполняемых файлов по почте   Ну и... надо настраивать сеть Вышеприведённое это малая толика. ЗЫ Надо уметь делиться конфигами, которыми никто не может воспользоваться. Закладку я могу заложить только будучи Inside, в сети определенного конфига, с тысячами учетек иметь привилегии доменадмина. Я просто их лично вынимал и потому знаю как это делается ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 12:29 20-04-2015

kot488 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Поставил програмку для мониторинга кто что создает и удаляет на дисках, что бы знать на будущее когда кто что удалил. Вот бы еще найти что то что бы запрещало создавать и удалять файлы на дисках всем пользователям кроме определенных Всего записей: 1629 | Зарегистр. 31-10-2006 | Отправлено: 12:40 20-04-2015

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть такой принцип: не навреди. У тех пользователей, коим не положено просто не должно быть доступа. Вот и всё. Элементарно это делается через смену пароля, я последний раз повторяю. Я не знаю вашу 1С, но позволю предположить, что она на сиквеле. А как вы sa дадите виндусовые права? Или джобики не должны исполняться? Может у вас виндусовая авторизация, но про эту учетку вы не забыли? А если заражен комп последнего привилегированного юзера? Вы это учли?   В общем.... не навредите. Сами себе. Обычно, если все правильно, бюджет безопасности IT, есть треть бюджета от всего IT. Но тогда с них можно и спросить, не только за безопасность, но и работоспособность. А вы ринулись... Ваше дело просто сменить пароли. Посмотрите лучше этот вирус. Как он идет, Типичный характер проникновения. Файлы же он куда-то дел? Или просто стер? Ну тогда это просто хулиган - мочить. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 12:53 20-04-2015

kot488 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Посмотрите лучше этот вирус. Как он идет, Типичный характер проникновения. Файлы же он куда-то дел? Или просто стер? Ну тогда это просто хулиган - мочить.   Файлы попросту стерлись( Всего записей: 1629 | Зарегистр. 31-10-2006 | Отправлено: 12:56 20-04-2015

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kot488 Цитата: Файлы попросту стерлись( Если я сейчас возьму и ПЕРЕНЕСУ файл "Назад в Архангельск.mp3" с диска D: на флешку, то на диске D: он будет считаться "попросту стертым". Возможно этот вирус называется "кривые руки". Сидит некий бух, ему надо скопировать инфу, например для налоговой, а он ее не копирует а перетаскивает. Поюзайте R-Studio   Добавлено: igor_me Цитата: куда и кому денЭжку засылать, чтоб расшифровать...   Было, да. Но файлы-то оставались. Они просто переименовывались (extension) и зашифровывались. Насколько я понял это не тот вариант. Картинки смотреть не могу. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 07:25 21-04-2015

kot488 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Если я сейчас возьму и ПЕРЕНЕСУ файл "Назад в Архангельск.mp3" с диска D: на флешку, то на диске D: он будет считаться "попросту стертым".   Возможно этот вирус называется "кривые руки". Сидит некий бух, ему надо скопировать инфу, например для налоговой, а он ее не копирует а перетаскивает.   Поюзайте R-Studio       Бакапы я восстановил без проблем, за криворукого буха 100% ручаюсь, не мог он просто так перенести порядка 30 папок обьемом около 500 гб. Да и диски почти пустые стали Всего записей: 1629 | Зарегистр. 31-10-2006 | Отправлено: 16:37 21-04-2015

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: не мог он просто так перенести порядка 30 папок обьемом около 500 гб. Бугага. Взял и не скопировал, а перенес. Копировать же надо? Ну и время надо. А то что потом всё затерлось, так ОСь об этом не сообщает. Что ни разу не было? Дык он очки уже мысленно напялил на инспектора налоговой, а что там ОСь пишет... Да ну её, мелочь какая. Мне сейчас взятку идти давать, а это дело. Никогда не отвечайте за людей, это самый непредсказуемый девайс.       Добавлено: Вообще, как-то странно. Вы сразу начинаете с НАИМЕНЕЕ вероятного и упорно настаиваете. Я, обычно, начинаю с НАИБОЛЕЕ вероятного. Если же есть уверенность, что это РДП - меняете пароль. Группы доступа меняете. Никакая приват нет не спасет если есть возможность получить дотуп. Ну будет доступ через приват нет.... Какая разница. Множите сущности без необходимости. Впрочем, ваше дело. Вам же надо было поднять тревогу, а не получить советы ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 21:27 21-04-2015

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Несанкцинированый доступ к сети через RDP

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование