Предыстория:
Ухожу в отгул, оставив настроенный на winXPpro proxy-server (самопальный).
NetBios на компе выключен,
в соединении с провайдером используется только TCP/IP
В качестве FireWall'a - Outpost 1.0.1817.1645.
Разрешен доступ входящих TCP c адресов 192.168.0.2-220 на порт 8080 (на нем и висит прокси).
Исходящие TCP разрешены на любые адреса на порты 80-83.
Исходящие UDP разрешены только с 53 портом двух местных DNS (их IP предоставлены провом).
Входящие UDP запрещены.
Работа идет в режиме "блокировки"
В локале нет модемов - проверено, (т.е. дырка должна быть именно на прокси-сервере).
В качестве доступного аккаунта оставляю пользователя с о-ччень урезанными правами:
Все диски - N/a, исключая:
R/o рабочий стол, стартовое меню, разрешено подключение к прову.
Прокси грузится как сервис от имени NetworkService,
Сетевой экран - под админской учетной записью.
Заплатка RPC установлена
По возвращении обнаруживаю 4 (!) разновидности LoveSun, которые успешно блокирует файервол.
Ликвидация червей - дело техники.
Новых учетных записей не обнаружил, никто прав не повышал, админские ресурсы отключены, по логам вход был только с разрешенной учетной записи.
ВОПРОС: где может быть дырка, в чем мой прокол? Я имею ввиду возможность проникновения заразы.
В event log посмотри, не падал Оутпост?13.10.03 11:27 Автор: !mm <Ivan Ch.> Статус: Elderman
Сейчас у меня только одна идея: Дискета с Linux'ом для получения прав админа в WinNT (по инету пролетали такие) или ее модификация... Верится с трудом: сотрудники - простые пользователи. Может быть еще что-нить подскажите?
Надеюсь, "незамыленый", т.е. твой, all, глаз, что-либо увидит из того, что не замечаю я.
Ничего не отрицаю, но КАК?04.11.03 17:22 Автор: Garick <Yuriy> Статус: Elderman
> Доброго здоровья! > > Сейчас у меня только одна идея: Дискета с Linux'ом для > получения прав админа в WinNT (по инету пролетали такие) > или ее модификация... Верится с трудом: сотрудники - > простые пользователи. Может быть еще что-нить подскажите? > > Надеюсь, "незамыленый", т.е. твой, all, глаз, что-либо > увидит из того, что не замечаю я.
У меня затащили с ноутбуком, который вернулся с Одесской октябрьской выстовки.
Ничего не отрицаю, но КАК?13.10.03 23:10 Автор: StR <Стас> Статус: Elderman
> Сейчас у меня только одна идея: Дискета с Linux'ом для > получения прав админа в WinNT (по инету пролетали такие) > или ее модификация... Верится с трудом: сотрудники - > простые пользователи. Может быть еще что-нить подскажите? есть другая идея, не очень практичная, но случаи были ;)
Дискета с msblast'ом, принесенная юзером, ну и ручной запуск по глупости или вредности...
Ничего не отрицаю, но КАК?14.10.03 06:33 Автор: kstati <Евгений Борисов> Статус: Elderman
> > или ее модификация... Верится с трудом: сотрудники - > > простые пользователи. Может быть еще что-нить > подскажите? > есть другая идея, не очень практичная, но случаи были ;) > > Дискета с msblast'ом, принесенная юзером, ну и ручной > запуск по глупости или вредности...
Исходя из "исследований", это - скорее всего... Хоть и не очень-то верится - все - "белые овечки".
Вчера вечером посадил на все компы логеры (что запускалось, что открывалось). Может быть, вычислю.
Ничего не отрицаю, но КАК?13.10.03 19:10 Автор: fly4life <Александр Кузнецов> Статус: Elderman
> Доброго здоровья! > > Сейчас у меня только одна идея: Дискета с Linux'ом для > получения прав админа в WinNT (по инету пролетали такие) > или ее модификация... Верится с трудом: сотрудники - > простые пользователи. Может быть еще что-нить подскажите? > врядли... если я не ошибаюсь, тогда бы был сменён пароль админа...
> Надеюсь, "незамыленый", т.е. твой, all, глаз, что-либо > увидит из того, что не замечаю я.
хм, а до твоего ухода точно не было ни единой модификации вируса на компе?
Ничего не отрицаю, но КАК?14.10.03 06:38 Автор: kstati <Евгений Борисов> Статус: Elderman
> врядли... если я не ошибаюсь, тогда бы был сменён пароль > админа... Возможно, но, по-моему, для, возможно сделать админа "на час". Т.е. скопировать sam, изменить оригинал, получить доступ в ОС, перезагрузиться с той же дискеты и восстановить sam
> хм, а до твоего ухода точно не было ни единой модификации > вируса на компе?
100%: перед уходом система была просканена AVP с новейшими на то время обновлениями, вручную проверены список процессов, автозагрузка, работа служб.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
