Помощь - Поиск - Пользователи - Календарь
Полная версия: Можно ли определить IP по времени входа
Форум на все случаи жизни > Секреты софта и железа > Networking
cadeau
У меня такая ситуация. В сети 300 компов. ОС сервера Win2003 .Сервер выполняет роль лишь роутера. Лог антивирусника НОД32 показывает что в определенное время кто-то включает свой комп в сеть и начинаются вирусные атаки . Можно ли зная время включения компьютера в сеть отловить его IP адрес (при статическом распределении адресов) ? Потому что вирус так лупит, что прокси сервер, который находится на другом компьютере и под управлением другой ОС (eComStation) не может обработать такое количество запросов одновременно (60 запросов в секунду) Прокся eComStation такая гнилая, что нельзя с её помощью что-либо отследить
CheD
Антивирусник где только на сервере? а на рабочих станциях?
Сеть с доменовм, или рабочая группа?
"НОД32 показывает" можно узнать что показывает?
cadeau
Цитата(CheD @ 14.06.2010 - 12:34) *

Антивирусник где только на сервере? а на рабочих станциях?
Сеть с доменовм, или рабочая группа?
"НОД32 показывает" можно узнать что показывает?


Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
15.06.2010 13:17:25 AMON файл C:\WINDOWS\system32\x Win32/Conficker.AA червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
15.06.2010 13:17:25 AMON файл C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\C6GO1URV\jxwjpj[1].jpg Win32/Conficker.AA червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
15.06.2010 13:17:09 AMON файл C:\WINDOWS\system32\x Win32/Conficker.Z червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
15.06.2010 13:17:09 AMON файл C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\VUREHUKR\qlyodrdk[1].png Win32/Conficker.Z червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
И тд и тп целый день пока какой-то пользователь не отключает свой компьютер. Тогда полный штиль.

Антивирусник стоит на сервере а на рабочих станциях стоят разные: у кого Касперский у кого Доктор веб, у кого Панда Avast, AVG и т.д. Сеть не доменная, а рабочая группа
Andyy
cadeau
Включи "Аудит входа в систему" в Локальной политике безопасности. Потом сравни время срабатывания НОДа и похожее время в логах Аудита. В логах будет указан комп, который лезет на сервак.
Должно получиться.
cadeau
Спасибо я нашел по вашему совету некоторые компы с помощью политики аудита, который был постоянно по умолчанию включен. Но кроме конкретных имен и адресов имеются сообщения ,которые меня очень смущают :
NT AUTHORITY\ANONYMOUS LOGON
User Name: ANONYMOUS LOGON
Domain: NT AUTHORITY
Logon ID: (0x0,0x2F05AF5)
Logon Type: 3

и этих сообщений немало Что это может быть?
Andyy
Цитата
Аудит событий входа в систему. При помощи этой политики аудита вы можете указать, будет ли операционная система выполнять аудит каждый раз при проверке данным компьютером учетных данных. При использовании этой политики создается событие для локального и удаленного входа пользователя в систему. Члены домена и компьютеры, не входящие в домен, являются доверенными для своих локальных учетных записей. Когда пользователь пытается подключиться к общей папке на сервере, в журнал безопасности записывается событие удаленного входа, причем события выхода из системы не записываются. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.
Ну а эта политика?
У меня в офисе был похожий вирус, он лез во все расшаренные папки. Так я у себя на компе создал такую и ловил "на живца". Правда компов было на порядок меньше и подозрения в основном падали на ресепшен, т.к. у остальных сотрудников в офисе маловато времени для лазания по инету. :lol2:
PS: Давно это было, так что за точность "политик" не ручаюсь. unsure.gif
cadeau
Меня сильно смущают сообщения такого типа которые сыпятся как из рога изобилия:
User Name: ANONYMOUS LOGON
Domain: NT AUTHORITY
Logon ID: (0x0,0x2F05AF5)
Logon Type: 3
Что это сообщения системы или кто-то ломится изнутри сетки или это вирус ?
Andyy
Нажмите для просмотра прикрепленного файла
Видимо кто-то изнутри сетки ломится и, имхо, это зараженные компы.
Это я сделал скрин, когда комп с ХР подключается к другому с ХР.
CheD
А что показывает нод в сетевых соединениях? версия нода выше второй ?
Расшареные папки для всех вользователей или конкретно по пользователям или группам?
cadeau
Цитата(Andyy @ 15.06.2010 - 20:46) *

Видимо кто-то изнутри сетки ломится и, имхо, это зараженные компы.
Это я сделал скрин, когда комп с ХР подключается к другому с ХР.

Да наверное потому что системные сообщения имеют такой вид
User Name: NETWORK SERVICE
Domain: NT AUTHORITY
Logon ID: (0x0,0x3E4)
Privileges: SeAuditPrivilege

А можно как либо вычислить MAC адрес сетевой карты, с которой ломится ANONYMOUS ?
cadeau
Цитата(CheD @ 16.06.2010 - 05:53) *

А что показывает нод в сетевых соединениях? версия нода выше второй ?
Расшареные папки для всех вользователей или конкретно по пользователям или группам?

NOD32 2.7 Папки каждый пользователь расшаривает сам, какие он хочет. Компьютер на Win2003 выполняет роль только роутера Это не файл-сервер
CheD
закрой все шары включая админские, поставь файрвол.
cadeau
Цитата(CheD @ 16.06.2010 - 11:01) *

закрой все шары включая админские, поставь файрвол.

Когда ставишь файервол на какой-то рабочей станции то он отсекает все сетевые компьютеры стоящие за ним. Пробовал все существующие в природе файерволы. А если ставить фаейервол на роутер, то надо столько прописывать разрешений что и руки опускаются. Это не Линух где гамбузом все разрешенные адреса слить можно в файервол
CheD
Friendly Net Watcher при установке можно выбрать русский интерфейс.

http://www.kilievich.com/rus/fwatcher/preview.htm
cadeau
С вашей помощью все IP адреса и имена зараженных компьютеров мне удалось определить а их немало (около 60) , теперь возник вопрос какой файервол лучше всего поставить на win2003 чтобы их отключить пока не вылечатся но чтобы при этом не было проблем с роутингом
CheD
Бесплатный?
Русский?
Andyy
Firewall
cadeau
Цитата(CheD @ 23.06.2010 - 10:09) *

Бесплатный?
Русский?

Лучше бесплатный английский и опробованный на win2003 , потому что большинство файерволов приведенных выше нам гасили весь роутинг
CheD
KSSWare Extended IP Filter & Monitor - your computer security
http://www.kssware.net/ipfilter.html
Не помню на счет лицензии.

P.S А вообще тебе надо файрвол ставить и рисовать не правила для роутинга, а тупо разрещать всем все за исключением тех машин что плохие, им просто запретить все.
cadeau
Мы не можем без роутинга, так как у нас в роутинге WIN2003 прописаны 4 различных внутренних LAN с внутреннмими IP и одна внешняя сеть WAN с внешними IP


Пробвал поставит KSS но ничего не получается , появляется сообщение To run this application you first must install Net. Framework V2.0.59727 а где его брать?
ILE
У меня стоят FrameWork's 1.1_2.0_3.0_3.5, KSS загрузился и зарабоал без проблем; жаль, русика для него нет...А Net. Framework V2.0.5972 в Гугле навалом :-)
cadeau
Цитата(ILE @ 24.06.2010 - 13:01) *

У меня стоят FrameWork's 1.1_2.0_3.0_3.5, KSS загрузился и зарабоал без проблем; жаль, русика для него нет...А Net. Framework V2.0.5972 в Гугле навалом :-)

Framework V.20 не ставится почему-то на первую сборку win2003 а второй сервис пак тоже почему-то конфликтует
..
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.

Русская версия Invision Power Board © 2001-2019 Invision Power Services, Inc.
Яндекс.Метрика