информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяВсе любят медСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Ничего не отрицаю, но КАК? 14.10.03 06:33  Число просмотров: 1074
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
> > или ее модификация... Верится с трудом: сотрудники -
> > простые пользователи. Может быть еще что-нить
> подскажите?
> есть другая идея, не очень практичная, но случаи были ;)
>
> Дискета с msblast'ом, принесенная юзером, ну и ручной
> запуск по глупости или вредности...

Исходя из "исследований", это - скорее всего... Хоть и не очень-то верится - все - "белые овечки".
Вчера вечером посадил на все компы логеры (что запускалось, что открывалось). Может быть, вычислю.
<networking>
Outpost пропустил Blaster 13.10.03 11:21  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Доброго здоровья, All!

Предыстория:
Ухожу в отгул, оставив настроенный на winXPpro proxy-server (самопальный).
NetBios на компе выключен,
в соединении с провайдером используется только TCP/IP

В качестве FireWall'a - Outpost 1.0.1817.1645.
Разрешен доступ входящих TCP c адресов 192.168.0.2-220 на порт 8080 (на нем и висит прокси).
Исходящие TCP разрешены на любые адреса на порты 80-83.
Исходящие UDP разрешены только с 53 портом двух местных DNS (их IP предоставлены провом).
Входящие UDP запрещены.
Работа идет в режиме "блокировки"

В локале нет модемов - проверено, (т.е. дырка должна быть именно на прокси-сервере).

В качестве доступного аккаунта оставляю пользователя с о-ччень урезанными правами:
Все диски - N/a, исключая:
R/o рабочий стол, стартовое меню, разрешено подключение к прову.
Прокси грузится как сервис от имени NetworkService,
Сетевой экран - под админской учетной записью.
Заплатка RPC установлена

По возвращении обнаруживаю 4 (!) разновидности LoveSun, которые успешно блокирует файервол.
Ликвидация червей - дело техники.
Новых учетных записей не обнаружил, никто прав не повышал, админские ресурсы отключены, по логам вход был только с разрешенной учетной записи.

ВОПРОС: где может быть дырка, в чем мой прокол? Я имею ввиду возможность проникновения заразы.
В event log посмотри, не падал Оутпост? 13.10.03 11:27  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
В event log все чисто (забыл сразу сообщить). 13.10.03 11:40  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Нет вариантов :( только локально в твоем случае мог пройти Blaster по-моему. 13.10.03 12:39  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Ничего не отрицаю, но КАК? 13.10.03 14:03  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Доброго здоровья!

Сейчас у меня только одна идея: Дискета с Linux'ом для получения прав админа в WinNT (по инету пролетали такие) или ее модификация... Верится с трудом: сотрудники - простые пользователи. Может быть еще что-нить подскажите?

Надеюсь, "незамыленый", т.е. твой, all, глаз, что-либо увидит из того, что не замечаю я.
Ничего не отрицаю, но КАК? 04.11.03 17:22  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
> Доброго здоровья!
>
> Сейчас у меня только одна идея: Дискета с Linux'ом для
> получения прав админа в WinNT (по инету пролетали такие)
> или ее модификация... Верится с трудом: сотрудники -
> простые пользователи. Может быть еще что-нить подскажите?
>
> Надеюсь, "незамыленый", т.е. твой, all, глаз, что-либо
> увидит из того, что не замечаю я.

У меня затащили с ноутбуком, который вернулся с Одесской октябрьской выстовки.
Ничего не отрицаю, но КАК? 13.10.03 23:10  
Автор: StR <Стас> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
> Сейчас у меня только одна идея: Дискета с Linux'ом для
> получения прав админа в WinNT (по инету пролетали такие)
> или ее модификация... Верится с трудом: сотрудники -
> простые пользователи. Может быть еще что-нить подскажите?
есть другая идея, не очень практичная, но случаи были ;)

Дискета с msblast'ом, принесенная юзером, ну и ручной запуск по глупости или вредности...
Ничего не отрицаю, но КАК? 14.10.03 06:33  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
> > или ее модификация... Верится с трудом: сотрудники -
> > простые пользователи. Может быть еще что-нить
> подскажите?
> есть другая идея, не очень практичная, но случаи были ;)
>
> Дискета с msblast'ом, принесенная юзером, ну и ручной
> запуск по глупости или вредности...

Исходя из "исследований", это - скорее всего... Хоть и не очень-то верится - все - "белые овечки".
Вчера вечером посадил на все компы логеры (что запускалось, что открывалось). Может быть, вычислю.
Ничего не отрицаю, но КАК? 13.10.03 19:10  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
> Доброго здоровья!
>
> Сейчас у меня только одна идея: Дискета с Linux'ом для
> получения прав админа в WinNT (по инету пролетали такие)
> или ее модификация... Верится с трудом: сотрудники -
> простые пользователи. Может быть еще что-нить подскажите?
>
врядли... если я не ошибаюсь, тогда бы был сменён пароль админа...

> Надеюсь, "незамыленый", т.е. твой, all, глаз, что-либо
> увидит из того, что не замечаю я.

хм, а до твоего ухода точно не было ни единой модификации вируса на компе?
Ничего не отрицаю, но КАК? 14.10.03 06:38  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
> врядли... если я не ошибаюсь, тогда бы был сменён пароль
> админа...
Возможно, но, по-моему, для, возможно сделать админа "на час". Т.е. скопировать sam, изменить оригинал, получить доступ в ОС, перезагрузиться с той же дискеты и восстановить sam

> хм, а до твоего ухода точно не было ни единой модификации
> вируса на компе?

100%: перед уходом система была просканена AVP с новейшими на то время обновлениями, вручную проверены список процессов, автозагрузка, работа служб.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach