Можно ли определить IP по времени входа |
Здравствуйте, гость ( Вход | Регистрация )
Все ссылки на сторонние ресурсы, за исключением офсайтов программ и их зеркал, должны оформляться с помощью тега скрытого текста - [hide=1] URL [/hide] и никак иначе. За нарушение будет строгое наказание.
Можно ли определить IP по времени входа |
cadeau |
14.06.2010 - 09:10
Сообщение
#1
|
Full Member Группа: Full member Сообщений: 133 Регистрация: 30.04.2004 Пользователь №: 45306 |
У меня такая ситуация. В сети 300 компов. ОС сервера Win2003 .Сервер выполняет роль лишь роутера. Лог антивирусника НОД32 показывает что в определенное время кто-то включает свой комп в сеть и начинаются вирусные атаки . Можно ли зная время включения компьютера в сеть отловить его IP адрес (при статическом распределении адресов) ? Потому что вирус так лупит, что прокси сервер, который находится на другом компьютере и под управлением другой ОС (eComStation) не может обработать такое количество запросов одновременно (60 запросов в секунду) Прокся eComStation такая гнилая, что нельзя с её помощью что-либо отследить
Сообщение было отредактировано cadeau: 14.06.2010 - 09:23 |
CheD |
14.06.2010 - 10:34
Сообщение
#2
|
Full Member Группа: VIP Сообщений: 295 Регистрация: 10.11.2004 Пользователь №: 69154 |
Антивирусник где только на сервере? а на рабочих станциях?
Сеть с доменовм, или рабочая группа? "НОД32 показывает" можно узнать что показывает? |
cadeau |
15.06.2010 - 13:34
Сообщение
#3
|
Full Member Группа: Full member Сообщений: 133 Регистрация: 30.04.2004 Пользователь №: 45306 |
Антивирусник где только на сервере? а на рабочих станциях? Сеть с доменовм, или рабочая группа? "НОД32 показывает" можно узнать что показывает? Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция 15.06.2010 13:17:25 AMON файл C:\WINDOWS\system32\x Win32/Conficker.AA червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно. 15.06.2010 13:17:25 AMON файл C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\C6GO1URV\jxwjpj[1].jpg Win32/Conficker.AA червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно. 15.06.2010 13:17:09 AMON файл C:\WINDOWS\system32\x Win32/Conficker.Z червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно. 15.06.2010 13:17:09 AMON файл C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\VUREHUKR\qlyodrdk[1].png Win32/Conficker.Z червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно. И тд и тп целый день пока какой-то пользователь не отключает свой компьютер. Тогда полный штиль. Антивирусник стоит на сервере а на рабочих станциях стоят разные: у кого Касперский у кого Доктор веб, у кого Панда Avast, AVG и т.д. Сеть не доменная, а рабочая группа Сообщение было отредактировано cadeau: 15.06.2010 - 13:42 |
Andyy |
15.06.2010 - 16:38
Сообщение
#4
|
Honorable Member Группа: Супермодераторы Сообщений: 3518 Регистрация: 1.10.2002 Из: Москва Пользователь №: 1249 |
cadeau
Включи "Аудит входа в систему" в Локальной политике безопасности. Потом сравни время срабатывания НОДа и похожее время в логах Аудита. В логах будет указан комп, который лезет на сервак. Должно получиться. |
cadeau |
15.06.2010 - 17:24
Сообщение
#5
|
Full Member Группа: Full member Сообщений: 133 Регистрация: 30.04.2004 Пользователь №: 45306 |
Спасибо я нашел по вашему совету некоторые компы с помощью политики аудита, который был постоянно по умолчанию включен. Но кроме конкретных имен и адресов имеются сообщения ,которые меня очень смущают :
NT AUTHORITY\ANONYMOUS LOGON User Name: ANONYMOUS LOGON Domain: NT AUTHORITY Logon ID: (0x0,0x2F05AF5) Logon Type: 3 и этих сообщений немало Что это может быть? Сообщение было отредактировано cadeau: 15.06.2010 - 17:57 |
Andyy |
15.06.2010 - 17:41
Сообщение
#6
|
Honorable Member Группа: Супермодераторы Сообщений: 3518 Регистрация: 1.10.2002 Из: Москва Пользователь №: 1249 |
Цитата Аудит событий входа в систему. При помощи этой политики аудита вы можете указать, будет ли операционная система выполнять аудит каждый раз при проверке данным компьютером учетных данных. При использовании этой политики создается событие для локального и удаленного входа пользователя в систему. Члены домена и компьютеры, не входящие в домен, являются доверенными для своих локальных учетных записей. Когда пользователь пытается подключиться к общей папке на сервере, в журнал безопасности записывается событие удаленного входа, причем события выхода из системы не записываются. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему. Ну а эта политика?У меня в офисе был похожий вирус, он лез во все расшаренные папки. Так я у себя на компе создал такую и ловил "на живца". Правда компов было на порядок меньше и подозрения в основном падали на ресепшен, т.к. у остальных сотрудников в офисе маловато времени для лазания по инету. :lol2: PS: Давно это было, так что за точность "политик" не ручаюсь. (IMG:style_emoticons/bfz/unsure.gif) |
cadeau |
15.06.2010 - 17:53
Сообщение
#7
|
Full Member Группа: Full member Сообщений: 133 Регистрация: 30.04.2004 Пользователь №: 45306 |
Меня сильно смущают сообщения такого типа которые сыпятся как из рога изобилия:
User Name: ANONYMOUS LOGON Domain: NT AUTHORITY Logon ID: (0x0,0x2F05AF5) Logon Type: 3 Что это сообщения системы или кто-то ломится изнутри сетки или это вирус ? Сообщение было отредактировано cadeau: 15.06.2010 - 18:02 |
Andyy |
15.06.2010 - 18:46
Сообщение
#8
|
Honorable Member Группа: Супермодераторы Сообщений: 3518 Регистрация: 1.10.2002 Из: Москва Пользователь №: 1249 |
|
CheD |
16.06.2010 - 03:53
Сообщение
#9
|
Full Member Группа: VIP Сообщений: 295 Регистрация: 10.11.2004 Пользователь №: 69154 |
А что показывает нод в сетевых соединениях? версия нода выше второй ?
Расшареные папки для всех вользователей или конкретно по пользователям или группам? |
cadeau |
16.06.2010 - 07:56
Сообщение
#10
|
Full Member Группа: Full member Сообщений: 133 Регистрация: 30.04.2004 Пользователь №: 45306 |
Видимо кто-то изнутри сетки ломится и, имхо, это зараженные компы. Это я сделал скрин, когда комп с ХР подключается к другому с ХР. Да наверное потому что системные сообщения имеют такой вид User Name: NETWORK SERVICE Domain: NT AUTHORITY Logon ID: (0x0,0x3E4) Privileges: SeAuditPrivilege А можно как либо вычислить MAC адрес сетевой карты, с которой ломится ANONYMOUS ? Сообщение было отредактировано cadeau: 16.06.2010 - 07:58 |
cadeau |
16.06.2010 - 08:02
Сообщение
#11
|
Full Member Группа: Full member Сообщений: 133 Регистрация: 30.04.2004 Пользователь №: 45306 |
А что показывает нод в сетевых соединениях? версия нода выше второй ? Расшареные папки для всех вользователей или конкретно по пользователям или группам? NOD32 2.7 Папки каждый пользователь расшаривает сам, какие он хочет. Компьютер на Win2003 выполняет роль только роутера Это не файл-сервер Сообщение было отредактировано cadeau: 16.06.2010 - 08:07 |
CheD |
16.06.2010 - 09:01
Сообщение
#12
|
Full Member Группа: VIP Сообщений: 295 Регистрация: 10.11.2004 Пользователь №: 69154 |
закрой все шары включая админские, поставь файрвол.
|
cadeau |
16.06.2010 - 09:36
Сообщение
#13
|
Full Member Группа: Full member Сообщений: 133 Регистрация: 30.04.2004 Пользователь №: 45306 |
закрой все шары включая админские, поставь файрвол. Когда ставишь файервол на какой-то рабочей станции то он отсекает все сетевые компьютеры стоящие за ним. Пробовал все существующие в природе файерволы. А если ставить фаейервол на роутер, то надо столько прописывать разрешений что и руки опускаются. Это не Линух где гамбузом все разрешенные адреса слить можно в файервол Сообщение было отредактировано cadeau: 16.06.2010 - 09:39 |
CheD |
21.06.2010 - 02:12
Сообщение
#14
|
Full Member Группа: VIP Сообщений: 295 Регистрация: 10.11.2004 Пользователь №: 69154 |
Friendly Net Watcher при установке можно выбрать русский интерфейс.
http://www.kilievich.com/rus/fwatcher/preview.htm |
cadeau |
23.06.2010 - 07:34
Сообщение
#15
|
Full Member Группа: Full member Сообщений: 133 Регистрация: 30.04.2004 Пользователь №: 45306 |
С вашей помощью все IP адреса и имена зараженных компьютеров мне удалось определить а их немало (около 60) , теперь возник вопрос какой файервол лучше всего поставить на win2003 чтобы их отключить пока не вылечатся но чтобы при этом не было проблем с роутингом
Сообщение было отредактировано cadeau: 23.06.2010 - 07:34 |
CheD |
23.06.2010 - 08:09
Сообщение
#16
|
Full Member Группа: VIP Сообщений: 295 Регистрация: 10.11.2004 Пользователь №: 69154 |
Бесплатный?
Русский? |
Andyy |
23.06.2010 - 08:11
Сообщение
#17
|
Honorable Member Группа: Супермодераторы Сообщений: 3518 Регистрация: 1.10.2002 Из: Москва Пользователь №: 1249 |
|
cadeau |
23.06.2010 - 12:39
Сообщение
#18
|
Full Member Группа: Full member Сообщений: 133 Регистрация: 30.04.2004 Пользователь №: 45306 |
|
CheD |
24.06.2010 - 01:52
Сообщение
#19
|
Full Member Группа: VIP Сообщений: 295 Регистрация: 10.11.2004 Пользователь №: 69154 |
KSSWare Extended IP Filter & Monitor - your computer security
http://www.kssware.net/ipfilter.html Не помню на счет лицензии. P.S А вообще тебе надо файрвол ставить и рисовать не правила для роутинга, а тупо разрещать всем все за исключением тех машин что плохие, им просто запретить все. |
cadeau |
24.06.2010 - 09:40
Сообщение
#20
|
Full Member Группа: Full member Сообщений: 133 Регистрация: 30.04.2004 Пользователь №: 45306 |
Мы не можем без роутинга, так как у нас в роутинге WIN2003 прописаны 4 различных внутренних LAN с внутреннмими IP и одна внешняя сеть WAN с внешними IP
Пробвал поставит KSS но ничего не получается , появляется сообщение To run this application you first must install Net. Framework V2.0.59727 а где его брать? Сообщение было отредактировано cadeau: 24.06.2010 - 09:50 |
ILE |
24.06.2010 - 11:01
Сообщение
#21
|
Самый старший Группа: Full member Сообщений: 167 Регистрация: 25.05.2005 Пользователь №: 118701 |
У меня стоят FrameWork's 1.1_2.0_3.0_3.5, KSS загрузился и зарабоал без проблем; жаль, русика для него нет...А Net. Framework V2.0.5972 в Гугле навалом :-)
Сообщение было отредактировано ILE: 24.06.2010 - 11:06 |
cadeau |
24.06.2010 - 16:20
Сообщение
#22
|
Full Member Группа: Full member Сообщений: 133 Регистрация: 30.04.2004 Пользователь №: 45306 |
|
Реклама
|
|
|
|
|
|
Текстовая версия | Сейчас: 24.04.2024 - 14:09 |
|