reenoip Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Дано: Старый СА уволился с треском. Я новый СА. Замечаю, что кто-то бродит по сети, причем делает пакости. Валом повалили вирусы. Не хочу ничего плохого думать о человеке. Но слишком все совпало в пространстве и во времени. Отловил активность ночью с помощью видемониторинга. Подскажите как вычислить фулигана и как ему перекрыть кислород Старый-то хоть и с треском уволился, но тебя вообще с грохотом уволят, судя по твоим вопросам. Увольняйся лучше сам и прямо сейчас, не оттягивай неизбежное. Всего записей: 1768 | Зарегистр. 10-03-2006 | Отправлено: 06:09 21-08-2015

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Masik Домен есть? Если да,  включи аудит входов в систему. Смени все админские пароли. Вирусы - антивирус то есть на машинах? Уточни, есть ли вход по VPN в локальную сеть т отруби вход всем кроме себя. ---------- В сортире лучше быть юзером, чем админом... Всего записей: 12376 | Зарегистр. 10-12-2003 | Отправлено: 06:33 21-08-2015

reenoip Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Masik, ну а ты как хотел-то? Чтобы весь мир бросился сейчас тебе помогать, когда тебя самого туда как раз за этим и позвали? Тебя совесть не мучает за то, что людей, доверившихся тебе, вводишь в заблуждение? Они же там, небось, и не догадываются даже, что ты сам ничего не знаешь... Всего записей: 1768 | Зарегистр. 10-03-2006 | Отправлено: 09:31 21-08-2015

Mr_Beer Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ну как вариант отключить интернет вообще на ночь, будет ясно, подключение это снаружи или тупо задача по расписанию Всего записей: 48 | Зарегистр. 26-10-2006 | Отправлено: 08:16 22-08-2015

reenoip Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору tankistua, не, я ещё тупее автора, но ума чужие места не занимать хватает Всего записей: 1768 | Зарегистр. 10-03-2006 | Отправлено: 10:14 22-08-2015

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: вижу как открываются окна, копируются файлы и т.д. Ну так это сторонний софт удаленного администрирования. Кто-то знает к нему пароль. Вообще, вагон вариантов проникновения для человека, который занимал в единственном лице должность СА. Штатно, сторонний софт, закладки всякие. Начать надо с AD. Заблокировать лишних админов (могут быть глюки с сервисами). Проверить, кто может достукиваться извне, да хоть VPN. Как она устроена и кому разрешена.   Проверить серверы. Стороннему софту администрирования там делать нечего, есть RDP. Сменить пароль лок админа везде, есть утилиты, делающие это веером по всем машинам. И\или политикой запретить вход лок админу по сети. Проверить планировщики, нет ли подозрительных заданий на ночь. Сменить пароль в стороннем софте администрирования, или вообще его пофиксить. Вообще, это комплекс мероприятий, но если начальство озабочено, то может пригласить профильного спеца. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 11:01 22-08-2015

urodliv Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Masik Дайте я свои пять копеек внесу. Сколько машин остаётся работать на ночь? Описанная порнуха происходит только на одной тачке или наблюдается и на других? ---------- Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением. Всего записей: 6776 | Зарегистр. 29-04-2009 | Отправлено: 16:55 22-08-2015

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору urodliv Вот и я подумал, что мб некий сотрудник просто тупо работает из дома. Сам работал ночами. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 18:35 22-08-2015

Kaber Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору yakostik Точно, тем более ничего криминального, кроме самого подключения не происходит. Да и скорее всего планировщик выгрузку в "штаб" делает Всего записей: 1363 | Зарегистр. 14-03-2014 | Отправлено: 07:41 24-08-2015

Masik Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Спасибо всем вам, братья по полу! Все ваши советы пробую. Как получится отпишусь. Кстати, про камеру не знает никто, даже коллеги. Я ее сразу установил в первый же день работы. Сейчас сношу все проги удаленного доступа. Плохо, что они все Portable. Нигде их следов не видно. Причем нахожу их в самых неожиданных местах. Даже в системной папке drivers/ets. mRemoteNG, например, нашел в 8 разных папках. Обычно, включена ночью только моя машина, и бухгалтерия из-за разницы во времени, так как я сам по вечерам работаю удаленно. У нас жесткая дисциплина. После 17:00 все закрывается, опечатывается. А мне иногда надо подпудрить то, что днем не успел.   Paromshick - "Вообще, вагон вариантов проникновения для человека, который занимал в единственном лице должность СА. Штатно, сторонний софт, закладки всякие.   Начать надо с AD. Заблокировать лишних админов (могут быть глюки с сервисами)."   Да, в AD обнаружил учетки с админскими правами в количестве 64 штуки. Но пока не разобрался кто есть ху, боюсь их трогать.   В общем где-то так.     Стремно, конечно, но зато когда найду врага, радости будет до небес.     Аминь!   Добавлено: Вот на этом же форуме нашел такую ветку http://forum.ru-board.com/topic.cgi?forum=8&topic=48594   Значит кто-то ищет еще кому бы нагадить.   Тема популярная, однако. Всего записей: 9 | Зарегистр. 26-07-2004 | Отправлено: 08:59 24-08-2015

anjunabeatc Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору делается за 1 вечер + можно негодника вычислить: поставь винрут керио неважно какой версии, даже тестовый вариант сойдет, 1 вечер мониторинга и ты будешь знать на какие хосты долбились из твоей сети и обратно + включи логи; из полезных софтин так же можешь использовать process hacker для мониторинга процессов( какой процесс с какого порта и куда ломится). Всего записей: 85 | Зарегистр. 15-04-2011 | Отправлено: 17:11 25-08-2015

urodliv Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Masik Цитата: Сейчас сношу все проги удаленного доступа. Плохо, что они все Portable. Нигде их следов не видно. Причем нахожу их в самых неожиданных местах. Даже в системной папке drivers/ets. mRemoteNG, например, нашел в 8 разных папках.   А по-моему это не так плохо. В этом случае можно воспользоваться прогами поиска дублирующихся файлов.   anjunabeatc Цитата: делается за 1 вечер + можно негодника вычислить: поставь винрут керио неважно какой версии, даже тестовый вариант сойдет, 1 вечер мониторинга и ты будешь знать на какие хосты долбились из твоей сети и обратно + включи логи; из полезных софтин так же можешь использовать process hacker для мониторинга процессов( какой процесс с какого порта и куда ломится). Аха. Вечер сбора информации, а потом несколько дней её обработки. ---------- Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением. Всего записей: 6776 | Зарегистр. 29-04-2009 | Отправлено: 18:48 25-08-2015

anjunabeatc Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору это работает, это эффективно и даст реальный результат и все можно делать удаленно и нету нужды сидеть в офисе Всего записей: 85 | Зарегистр. 15-04-2011 | Отправлено: 15:32 27-08-2015

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору anjunabeatc Прям слоган из рекламы. Вы только забыли уточнить, что это работает на вашем шаблоне сети. А всем иным, либо перелопачивать сеть, либо... идти... своей дорогой. В общем идея понятна, но так как топикстартер предложил несколько общий вариант, то получил несколько общие ответы. Из ответов типа выкинь микротик и поставь керио, или выкинь винду поставь пингвина, нервым победит совсем другой. Выключайте 220 на ночь. Во всем здании. Рубильником. Но не факт, что я не зайду днем, через одному мне известную калитку и спокойно сделаю еще одну, например. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 16:05 27-08-2015

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » как вычислить вторжение?

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование