Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
В event log посмотри, не падал Оутпост? 13.10.03 11:27 Число просмотров: 1136
Автор: !mm <Ivan Ch.> Статус: Elderman
|
|
|
|
<networking>
|
Outpost пропустил Blaster 13.10.03 11:21
Автор: kstati <Евгений Борисов> Статус: Elderman
|
Доброго здоровья, All!
Предыстория:
Ухожу в отгул, оставив настроенный на winXPpro proxy-server (самопальный).
NetBios на компе выключен,
в соединении с провайдером используется только TCP/IP
В качестве FireWall'a - Outpost 1.0.1817.1645.
Разрешен доступ входящих TCP c адресов 192.168.0.2-220 на порт 8080 (на нем и висит прокси).
Исходящие TCP разрешены на любые адреса на порты 80-83.
Исходящие UDP разрешены только с 53 портом двух местных DNS (их IP предоставлены провом).
Входящие UDP запрещены.
Работа идет в режиме "блокировки"
В локале нет модемов - проверено, (т.е. дырка должна быть именно на прокси-сервере).
В качестве доступного аккаунта оставляю пользователя с о-ччень урезанными правами:
Все диски - N/a, исключая:
R/o рабочий стол, стартовое меню, разрешено подключение к прову.
Прокси грузится как сервис от имени NetworkService,
Сетевой экран - под админской учетной записью.
Заплатка RPC установлена
По возвращении обнаруживаю 4 (!) разновидности LoveSun, которые успешно блокирует файервол.
Ликвидация червей - дело техники.
Новых учетных записей не обнаружил, никто прав не повышал, админские ресурсы отключены, по логам вход был только с разрешенной учетной записи.
ВОПРОС: где может быть дырка, в чем мой прокол? Я имею ввиду возможность проникновения заразы.
|
|
В event log посмотри, не падал Оутпост? 13.10.03 11:27
Автор: !mm <Ivan Ch.> Статус: Elderman
|
|
|
| |
В event log все чисто (забыл сразу сообщить). 13.10.03 11:40
Автор: kstati <Евгений Борисов> Статус: Elderman
|
|
|
| | |
Нет вариантов :( только локально в твоем случае мог пройти Blaster по-моему. 13.10.03 12:39
Автор: !mm <Ivan Ch.> Статус: Elderman
|
|
|
| | | |
Ничего не отрицаю, но КАК? 13.10.03 14:03
Автор: kstati <Евгений Борисов> Статус: Elderman
|
Доброго здоровья!
Сейчас у меня только одна идея: Дискета с Linux'ом для получения прав админа в WinNT (по инету пролетали такие) или ее модификация... Верится с трудом: сотрудники - простые пользователи. Может быть еще что-нить подскажите?
Надеюсь, "незамыленый", т.е. твой, all, глаз, что-либо увидит из того, что не замечаю я.
|
| | | | |
Ничего не отрицаю, но КАК? 04.11.03 17:22
Автор: Garick <Yuriy> Статус: Elderman
|
> Доброго здоровья!
>
> Сейчас у меня только одна идея: Дискета с Linux'ом для
> получения прав админа в WinNT (по инету пролетали такие)
> или ее модификация... Верится с трудом: сотрудники -
> простые пользователи. Может быть еще что-нить подскажите?
>
> Надеюсь, "незамыленый", т.е. твой, all, глаз, что-либо
> увидит из того, что не замечаю я.
У меня затащили с ноутбуком, который вернулся с Одесской октябрьской выстовки.
|
| | | | |
Ничего не отрицаю, но КАК? 13.10.03 23:10
Автор: StR <Стас> Статус: Elderman
|
> Сейчас у меня только одна идея: Дискета с Linux'ом для
> получения прав админа в WinNT (по инету пролетали такие)
> или ее модификация... Верится с трудом: сотрудники -
> простые пользователи. Может быть еще что-нить подскажите?
есть другая идея, не очень практичная, но случаи были ;)
Дискета с msblast'ом, принесенная юзером, ну и ручной запуск по глупости или вредности...
|
| | | | | |
Ничего не отрицаю, но КАК? 14.10.03 06:33
Автор: kstati <Евгений Борисов> Статус: Elderman
|
> > или ее модификация... Верится с трудом: сотрудники -
> > простые пользователи. Может быть еще что-нить
> подскажите?
> есть другая идея, не очень практичная, но случаи были ;)
>
> Дискета с msblast'ом, принесенная юзером, ну и ручной
> запуск по глупости или вредности...
Исходя из "исследований", это - скорее всего... Хоть и не очень-то верится - все - "белые овечки".
Вчера вечером посадил на все компы логеры (что запускалось, что открывалось). Может быть, вычислю.
|
| | | | |
Ничего не отрицаю, но КАК? 13.10.03 19:10
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
> Доброго здоровья!
>
> Сейчас у меня только одна идея: Дискета с Linux'ом для
> получения прав админа в WinNT (по инету пролетали такие)
> или ее модификация... Верится с трудом: сотрудники -
> простые пользователи. Может быть еще что-нить подскажите?
>
врядли... если я не ошибаюсь, тогда бы был сменён пароль админа...
> Надеюсь, "незамыленый", т.е. твой, all, глаз, что-либо
> увидит из того, что не замечаю я.
хм, а до твоего ухода точно не было ни единой модификации вируса на компе?
|
| | | | | |
Ничего не отрицаю, но КАК? 14.10.03 06:38
Автор: kstati <Евгений Борисов> Статус: Elderman
|
> врядли... если я не ошибаюсь, тогда бы был сменён пароль
> админа...
Возможно, но, по-моему, для, возможно сделать админа "на час". Т.е. скопировать sam, изменить оригинал, получить доступ в ОС, перезагрузиться с той же дискеты и восстановить sam
> хм, а до твоего ухода точно не было ни единой модификации
> вируса на компе?
100%: перед уходом система была просканена AVP с новейшими на то время обновлениями, вручную проверены список процессов, автозагрузка, работа служб.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
