IPB

Здравствуйте, гость ( Вход | Регистрация )

> ПРАВИЛА ФОРУМА

Все ссылки на сторонние ресурсы, за исключением офсайтов программ и их зеркал, должны оформляться с помощью тега скрытого текста - [hide=1] URL [/hide] и никак иначе. За нарушение будет строгое наказание.

> Можно ли определить IP по времени входа
cadeau
14.06.2010 - 09:10
Сообщение #1


No Avatar
Full Member
***
Группа: Full member
Сообщений: 133
Регистрация: 30.04.2004

Пользователь №: 45306




У меня такая ситуация. В сети 300 компов. ОС сервера Win2003 .Сервер выполняет роль лишь роутера. Лог антивирусника НОД32 показывает что в определенное время кто-то включает свой комп в сеть и начинаются вирусные атаки . Можно ли зная время включения компьютера в сеть отловить его IP адрес (при статическом распределении адресов) ? Потому что вирус так лупит, что прокси сервер, который находится на другом компьютере и под управлением другой ОС (eComStation) не может обработать такое количество запросов одновременно (60 запросов в секунду) Прокся eComStation такая гнилая, что нельзя с её помощью что-либо отследить

Сообщение было отредактировано cadeau: 14.06.2010 - 09:23
User is offlineProfile Card PM
Go to the top of the page
+
 
Reply to this topicStart new topic
Ответов(1 - 21)
CheD
14.06.2010 - 10:34
Сообщение #2



Full Member
Group Icon
Группа: VIP
Сообщений: 295
Регистрация: 10.11.2004

Пользователь №: 69154




Антивирусник где только на сервере? а на рабочих станциях?
Сеть с доменовм, или рабочая группа?
"НОД32 показывает" можно узнать что показывает?
User is offlineProfile Card PM
Go to the top of the page
+
cadeau
15.06.2010 - 13:34
Сообщение #3


No Avatar
Full Member
***
Группа: Full member
Сообщений: 133
Регистрация: 30.04.2004

Пользователь №: 45306




Цитата(CheD @ 14.06.2010 - 12:34) *

Антивирусник где только на сервере? а на рабочих станциях?
Сеть с доменовм, или рабочая группа?
"НОД32 показывает" можно узнать что показывает?


Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
15.06.2010 13:17:25 AMON файл C:\WINDOWS\system32\x Win32/Conficker.AA червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
15.06.2010 13:17:25 AMON файл C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\C6GO1URV\jxwjpj[1].jpg Win32/Conficker.AA червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
15.06.2010 13:17:09 AMON файл C:\WINDOWS\system32\x Win32/Conficker.Z червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
15.06.2010 13:17:09 AMON файл C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\VUREHUKR\qlyodrdk[1].png Win32/Conficker.Z червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
И тд и тп целый день пока какой-то пользователь не отключает свой компьютер. Тогда полный штиль.

Антивирусник стоит на сервере а на рабочих станциях стоят разные: у кого Касперский у кого Доктор веб, у кого Панда Avast, AVG и т.д. Сеть не доменная, а рабочая группа

Сообщение было отредактировано cadeau: 15.06.2010 - 13:42
User is offlineProfile Card PM
Go to the top of the page
+
Andyy
15.06.2010 - 16:38
Сообщение #4



Honorable Member
Group Icon
Группа: Супермодераторы
Сообщений: 3518
Регистрация: 1.10.2002
Из: Москва

Пользователь №: 1249




cadeau
Включи "Аудит входа в систему" в Локальной политике безопасности. Потом сравни время срабатывания НОДа и похожее время в логах Аудита. В логах будет указан комп, который лезет на сервак.
Должно получиться.
User is offlineProfile Card PM
Go to the top of the page
+
cadeau
15.06.2010 - 17:24
Сообщение #5


No Avatar
Full Member
***
Группа: Full member
Сообщений: 133
Регистрация: 30.04.2004

Пользователь №: 45306




Спасибо я нашел по вашему совету некоторые компы с помощью политики аудита, который был постоянно по умолчанию включен. Но кроме конкретных имен и адресов имеются сообщения ,которые меня очень смущают :
NT AUTHORITY\ANONYMOUS LOGON
User Name: ANONYMOUS LOGON
Domain: NT AUTHORITY
Logon ID: (0x0,0x2F05AF5)
Logon Type: 3

и этих сообщений немало Что это может быть?

Сообщение было отредактировано cadeau: 15.06.2010 - 17:57
User is offlineProfile Card PM
Go to the top of the page
+
Andyy
15.06.2010 - 17:41
Сообщение #6



Honorable Member
Group Icon
Группа: Супермодераторы
Сообщений: 3518
Регистрация: 1.10.2002
Из: Москва

Пользователь №: 1249




Цитата
Аудит событий входа в систему. При помощи этой политики аудита вы можете указать, будет ли операционная система выполнять аудит каждый раз при проверке данным компьютером учетных данных. При использовании этой политики создается событие для локального и удаленного входа пользователя в систему. Члены домена и компьютеры, не входящие в домен, являются доверенными для своих локальных учетных записей. Когда пользователь пытается подключиться к общей папке на сервере, в журнал безопасности записывается событие удаленного входа, причем события выхода из системы не записываются. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.
Ну а эта политика?
У меня в офисе был похожий вирус, он лез во все расшаренные папки. Так я у себя на компе создал такую и ловил "на живца". Правда компов было на порядок меньше и подозрения в основном падали на ресепшен, т.к. у остальных сотрудников в офисе маловато времени для лазания по инету. :lol2:
PS: Давно это было, так что за точность "политик" не ручаюсь. (IMG:style_emoticons/bfz/unsure.gif)
User is offlineProfile Card PM
Go to the top of the page
+
cadeau
15.06.2010 - 17:53
Сообщение #7


No Avatar
Full Member
***
Группа: Full member
Сообщений: 133
Регистрация: 30.04.2004

Пользователь №: 45306




Меня сильно смущают сообщения такого типа которые сыпятся как из рога изобилия:
User Name: ANONYMOUS LOGON
Domain: NT AUTHORITY
Logon ID: (0x0,0x2F05AF5)
Logon Type: 3
Что это сообщения системы или кто-то ломится изнутри сетки или это вирус ?

Сообщение было отредактировано cadeau: 15.06.2010 - 18:02
User is offlineProfile Card PM
Go to the top of the page
+
Andyy
15.06.2010 - 18:46
Сообщение #8



Honorable Member
Group Icon
Группа: Супермодераторы
Сообщений: 3518
Регистрация: 1.10.2002
Из: Москва

Пользователь №: 1249




Прикрепленное изображение
Видимо кто-то изнутри сетки ломится и, имхо, это зараженные компы.
Это я сделал скрин, когда комп с ХР подключается к другому с ХР.
User is offlineProfile Card PM
Go to the top of the page
+
CheD
16.06.2010 - 03:53
Сообщение #9



Full Member
Group Icon
Группа: VIP
Сообщений: 295
Регистрация: 10.11.2004

Пользователь №: 69154




А что показывает нод в сетевых соединениях? версия нода выше второй ?
Расшареные папки для всех вользователей или конкретно по пользователям или группам?
User is offlineProfile Card PM
Go to the top of the page
+
cadeau
16.06.2010 - 07:56
Сообщение #10


No Avatar
Full Member
***
Группа: Full member
Сообщений: 133
Регистрация: 30.04.2004

Пользователь №: 45306




Цитата(Andyy @ 15.06.2010 - 20:46) *

Видимо кто-то изнутри сетки ломится и, имхо, это зараженные компы.
Это я сделал скрин, когда комп с ХР подключается к другому с ХР.

Да наверное потому что системные сообщения имеют такой вид
User Name: NETWORK SERVICE
Domain: NT AUTHORITY
Logon ID: (0x0,0x3E4)
Privileges: SeAuditPrivilege

А можно как либо вычислить MAC адрес сетевой карты, с которой ломится ANONYMOUS ?

Сообщение было отредактировано cadeau: 16.06.2010 - 07:58
User is offlineProfile Card PM
Go to the top of the page
+
cadeau
16.06.2010 - 08:02
Сообщение #11


No Avatar
Full Member
***
Группа: Full member
Сообщений: 133
Регистрация: 30.04.2004

Пользователь №: 45306




Цитата(CheD @ 16.06.2010 - 05:53) *

А что показывает нод в сетевых соединениях? версия нода выше второй ?
Расшареные папки для всех вользователей или конкретно по пользователям или группам?

NOD32 2.7 Папки каждый пользователь расшаривает сам, какие он хочет. Компьютер на Win2003 выполняет роль только роутера Это не файл-сервер

Сообщение было отредактировано cadeau: 16.06.2010 - 08:07
User is offlineProfile Card PM
Go to the top of the page
+
CheD
16.06.2010 - 09:01
Сообщение #12



Full Member
Group Icon
Группа: VIP
Сообщений: 295
Регистрация: 10.11.2004

Пользователь №: 69154




закрой все шары включая админские, поставь файрвол.
User is offlineProfile Card PM
Go to the top of the page
+
cadeau
16.06.2010 - 09:36
Сообщение #13


No Avatar
Full Member
***
Группа: Full member
Сообщений: 133
Регистрация: 30.04.2004

Пользователь №: 45306




Цитата(CheD @ 16.06.2010 - 11:01) *

закрой все шары включая админские, поставь файрвол.

Когда ставишь файервол на какой-то рабочей станции то он отсекает все сетевые компьютеры стоящие за ним. Пробовал все существующие в природе файерволы. А если ставить фаейервол на роутер, то надо столько прописывать разрешений что и руки опускаются. Это не Линух где гамбузом все разрешенные адреса слить можно в файервол

Сообщение было отредактировано cadeau: 16.06.2010 - 09:39
User is offlineProfile Card PM
Go to the top of the page
+
CheD
21.06.2010 - 02:12
Сообщение #14



Full Member
Group Icon
Группа: VIP
Сообщений: 295
Регистрация: 10.11.2004

Пользователь №: 69154




Friendly Net Watcher при установке можно выбрать русский интерфейс.

http://www.kilievich.com/rus/fwatcher/preview.htm
User is offlineProfile Card PM
Go to the top of the page
+
cadeau
23.06.2010 - 07:34
Сообщение #15


No Avatar
Full Member
***
Группа: Full member
Сообщений: 133
Регистрация: 30.04.2004

Пользователь №: 45306




С вашей помощью все IP адреса и имена зараженных компьютеров мне удалось определить а их немало (около 60) , теперь возник вопрос какой файервол лучше всего поставить на win2003 чтобы их отключить пока не вылечатся но чтобы при этом не было проблем с роутингом

Сообщение было отредактировано cadeau: 23.06.2010 - 07:34
User is offlineProfile Card PM
Go to the top of the page
+
CheD
23.06.2010 - 08:09
Сообщение #16



Full Member
Group Icon
Группа: VIP
Сообщений: 295
Регистрация: 10.11.2004

Пользователь №: 69154




Бесплатный?
Русский?
User is offlineProfile Card PM
Go to the top of the page
+
Andyy
23.06.2010 - 08:11
Сообщение #17



Honorable Member
Group Icon
Группа: Супермодераторы
Сообщений: 3518
Регистрация: 1.10.2002
Из: Москва

Пользователь №: 1249




Firewall
User is offlineProfile Card PM
Go to the top of the page
+
cadeau
23.06.2010 - 12:39
Сообщение #18


No Avatar
Full Member
***
Группа: Full member
Сообщений: 133
Регистрация: 30.04.2004

Пользователь №: 45306




Цитата(CheD @ 23.06.2010 - 10:09) *

Бесплатный?
Русский?

Лучше бесплатный английский и опробованный на win2003 , потому что большинство файерволов приведенных выше нам гасили весь роутинг

Сообщение было отредактировано cadeau: 23.06.2010 - 12:40
User is offlineProfile Card PM
Go to the top of the page
+
CheD
24.06.2010 - 01:52
Сообщение #19



Full Member
Group Icon
Группа: VIP
Сообщений: 295
Регистрация: 10.11.2004

Пользователь №: 69154




KSSWare Extended IP Filter & Monitor - your computer security
http://www.kssware.net/ipfilter.html
Не помню на счет лицензии.

P.S А вообще тебе надо файрвол ставить и рисовать не правила для роутинга, а тупо разрещать всем все за исключением тех машин что плохие, им просто запретить все.
User is offlineProfile Card PM
Go to the top of the page
+
cadeau
24.06.2010 - 09:40
Сообщение #20


No Avatar
Full Member
***
Группа: Full member
Сообщений: 133
Регистрация: 30.04.2004

Пользователь №: 45306




Мы не можем без роутинга, так как у нас в роутинге WIN2003 прописаны 4 различных внутренних LAN с внутреннмими IP и одна внешняя сеть WAN с внешними IP


Пробвал поставит KSS но ничего не получается , появляется сообщение To run this application you first must install Net. Framework V2.0.59727 а где его брать?

Сообщение было отредактировано cadeau: 24.06.2010 - 09:50
User is offlineProfile Card PM
Go to the top of the page
+
ILE
24.06.2010 - 11:01
Сообщение #21


No Avatar
Самый старший
***
Группа: Full member
Сообщений: 167
Регистрация: 25.05.2005

Пользователь №: 118701




У меня стоят FrameWork's 1.1_2.0_3.0_3.5, KSS загрузился и зарабоал без проблем; жаль, русика для него нет...А Net. Framework V2.0.5972 в Гугле навалом :-)

Сообщение было отредактировано ILE: 24.06.2010 - 11:06
User is offlineProfile Card PM
Go to the top of the page
+
cadeau
24.06.2010 - 16:20
Сообщение #22


No Avatar
Full Member
***
Группа: Full member
Сообщений: 133
Регистрация: 30.04.2004

Пользователь №: 45306




Цитата(ILE @ 24.06.2010 - 13:01) *

У меня стоят FrameWork's 1.1_2.0_3.0_3.5, KSS загрузился и зарабоал без проблем; жаль, русика для него нет...А Net. Framework V2.0.5972 в Гугле навалом :-)

Framework V.20 не ставится почему-то на первую сборку win2003 а второй сервис пак тоже почему-то конфликтует
User is offlineProfile Card PM
Go to the top of the page
+
Реклама

Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0 -

 



- Текстовая версия Сейчас: 28.03.2024 - 22:09
]]> ]]>
]]> Яндекс.Метрика ]]>