Версия для печати темы

Нажмите сюда для просмотра этой темы в оригинальном формате

Форум на все случаи жизни _ Networking _ Можно ли определить IP по времени входа

Автор: cadeau 14.06.2010 - 09:10

У меня такая ситуация. В сети 300 компов. ОС сервера Win2003 .Сервер выполняет роль лишь роутера. Лог антивирусника НОД32 показывает что в определенное время кто-то включает свой комп в сеть и начинаются вирусные атаки . Можно ли зная время включения компьютера в сеть отловить его IP адрес (при статическом распределении адресов) ? Потому что вирус так лупит, что прокси сервер, который находится на другом компьютере и под управлением другой ОС (eComStation) не может обработать такое количество запросов одновременно (60 запросов в секунду) Прокся eComStation такая гнилая, что нельзя с её помощью что-либо отследить

Автор: CheD 14.06.2010 - 10:34

Антивирусник где только на сервере? а на рабочих станциях?
Сеть с доменовм, или рабочая группа?
"НОД32 показывает" можно узнать что показывает?

Автор: cadeau 15.06.2010 - 13:34

Цитата(CheD @ 14.06.2010 - 12:34)

Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
15.06.2010 13:17:25 AMON файл C:\WINDOWS\system32\x Win32/Conficker.AA червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
15.06.2010 13:17:25 AMON файл C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\C6GO1URV\jxwjpj[1].jpg Win32/Conficker.AA червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
15.06.2010 13:17:09 AMON файл C:\WINDOWS\system32\x Win32/Conficker.Z червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
15.06.2010 13:17:09 AMON файл C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\VUREHUKR\qlyodrdk[1].png Win32/Conficker.Z червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
И тд и тп целый день пока какой-то пользователь не отключает свой компьютер. Тогда полный штиль.

Антивирусник стоит на сервере а на рабочих станциях стоят разные: у кого Касперский у кого Доктор веб, у кого Панда Avast, AVG и т.д. Сеть не доменная, а рабочая группа

Автор: Andyy 15.06.2010 - 16:38

cadeau
Включи "Аудит входа в систему" в Локальной политике безопасности. Потом сравни время срабатывания НОДа и похожее время в логах Аудита. В логах будет указан комп, который лезет на сервак.
Должно получиться.

Автор: cadeau 15.06.2010 - 17:24

Спасибо я нашел по вашему совету некоторые компы с помощью политики аудита, который был постоянно по умолчанию включен. Но кроме конкретных имен и адресов имеются сообщения ,которые меня очень смущают :
NT AUTHORITY\ANONYMOUS LOGON
User Name: ANONYMOUS LOGON
Domain: NT AUTHORITY
Logon ID: (0x0,0x2F05AF5)
Logon Type: 3

и этих сообщений немало Что это может быть?

Автор: Andyy 15.06.2010 - 17:41

Цитата

Аудит событий входа в систему. При помощи этой политики аудита вы можете указать, будет ли операционная система выполнять аудит каждый раз при проверке данным компьютером учетных данных. При использовании этой политики создается событие для локального и удаленного входа пользователя в систему. Члены домена и компьютеры, не входящие в домен, являются доверенными для своих локальных учетных записей. Когда пользователь пытается подключиться к общей папке на сервере, в журнал безопасности записывается событие удаленного входа, причем события выхода из системы не записываются. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.

Ну а эта политика?
У меня в офисе был похожий вирус, он лез во все расшаренные папки. Так я у себя на компе создал такую и ловил "на живца". Правда компов было на порядок меньше и подозрения в основном падали на ресепшен, т.к. у остальных сотрудников в офисе маловато времени для лазания по инету. :lol2:
PS: Давно это было, так что за точность "политик" не ручаюсь.

Автор: cadeau 15.06.2010 - 17:53

Меня сильно смущают сообщения такого типа которые сыпятся как из рога изобилия:
User Name: ANONYMOUS LOGON
Domain: NT AUTHORITY
Logon ID: (0x0,0x2F05AF5)
Logon Type: 3
Что это сообщения системы или кто-то ломится изнутри сетки или это вирус ?

Автор: Andyy 15.06.2010 - 18:46

Видимо кто-то изнутри сетки ломится и, имхо, это зараженные компы.
Это я сделал скрин, когда комп с ХР подключается к другому с ХР.

Автор: CheD 16.06.2010 - 03:53

А что показывает нод в сетевых соединениях? версия нода выше второй ?
Расшареные папки для всех вользователей или конкретно по пользователям или группам?

Автор: cadeau 16.06.2010 - 07:56

Цитата(Andyy @ 15.06.2010 - 20:46)

Да наверное потому что системные сообщения имеют такой вид
User Name: NETWORK SERVICE
Domain: NT AUTHORITY
Logon ID: (0x0,0x3E4)
Privileges: SeAuditPrivilege

А можно как либо вычислить MAC адрес сетевой карты, с которой ломится ANONYMOUS ?

Автор: cadeau 16.06.2010 - 08:02

Цитата(CheD @ 16.06.2010 - 05:53)

NOD32 2.7 Папки каждый пользователь расшаривает сам, какие он хочет. Компьютер на Win2003 выполняет роль только роутера Это не файл-сервер

Автор: CheD 16.06.2010 - 09:01

закрой все шары включая админские, поставь файрвол.

Автор: cadeau 16.06.2010 - 09:36

Цитата(CheD @ 16.06.2010 - 11:01)

закрой все шары включая админские, поставь файрвол.

Когда ставишь файервол на какой-то рабочей станции то он отсекает все сетевые компьютеры стоящие за ним. Пробовал все существующие в природе файерволы. А если ставить фаейервол на роутер, то надо столько прописывать разрешений что и руки опускаются. Это не Линух где гамбузом все разрешенные адреса слить можно в файервол

Автор: CheD 21.06.2010 - 02:12

Friendly Net Watcher при установке можно выбрать русский интерфейс.

http://www.kilievich.com/rus/fwatcher/preview.htm

Автор: cadeau 23.06.2010 - 07:34

С вашей помощью все IP адреса и имена зараженных компьютеров мне удалось определить а их немало (около 60) , теперь возник вопрос какой файервол лучше всего поставить на win2003 чтобы их отключить пока не вылечатся но чтобы при этом не было проблем с роутингом

Автор: CheD 23.06.2010 - 08:09

Бесплатный?
Русский?

Автор: Andyy 23.06.2010 - 08:11

http://www.bestfilez.net/forums/index.php?s=&showtopic=9161&view=findpost&p=32979

Автор: cadeau 23.06.2010 - 12:39

Цитата(CheD @ 23.06.2010 - 10:09)

Бесплатный?
Русский?

Лучше бесплатный английский и опробованный на win2003 , потому что большинство файерволов приведенных выше нам гасили весь роутинг

Автор: CheD 24.06.2010 - 01:52

KSSWare Extended IP Filter & Monitor - your computer security
http://www.kssware.net/ipfilter.html
Не помню на счет лицензии.

P.S А вообще тебе надо файрвол ставить и рисовать не правила для роутинга, а тупо разрещать всем все за исключением тех машин что плохие, им просто запретить все.

Автор: cadeau 24.06.2010 - 09:40

Мы не можем без роутинга, так как у нас в роутинге WIN2003 прописаны 4 различных внутренних LAN с внутреннмими IP и одна внешняя сеть WAN с внешними IP

Пробвал поставит KSS но ничего не получается , появляется сообщение To run this application you first must install Net. Framework V2.0.59727 а где его брать?

Автор: ILE 24.06.2010 - 11:01

У меня стоят FrameWork's 1.1_2.0_3.0_3.5, KSS загрузился и зарабоал без проблем; жаль, русика для него нет...А Net. Framework V2.0.5972 в Гугле навалом :-)

Автор: cadeau 24.06.2010 - 16:20

Цитата(ILE @ 24.06.2010 - 13:01)

Framework V.20 не ставится почему-то на первую сборку win2003 а второй сервис пак тоже почему-то конфликтует