Взломали удаленный рабочий стол!

[The_Immortal]

Сегодня в 8:52 утра проснулся от звука входящей смс. Полуоткрытым глазом прочитал: "Сбербанк ОнЛ@йн выполнен вход ...". Вскочил с кровати, подбегаю к ноут и наблюдаю: какой-то кул-хацкер шастает по моему кабинету в Сбербанк-онлайне и пытается осуществить какую-либо транзу. Но тщетно - все операции требуют смс-подтверждения. Пожалев бедного хацкера, попробовал перехватить у него курсор, но не удалось. Пришлось вырубить комп.

 

Конечно, злодеяние в итоге не состоялось, но все равно очень неприятно, когда кто-то шастает у тебя по компу, поэтому я решил разобраться.

 

Отправился на работу опоздавшим и с плохим настроением. Оттуда запустил свой ноут и начал расследование.

 

Для начала зашел на логи к роутеру.

 

Вот они:

  Цитата

Thu, 2013-02-21 07:09:05 - TCP Packet - Source:77.247.186.202,52595 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:09:06 - TCP Packet - Source:77.247.186.202,62122 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:12:06 - TCP Packet - Source:77.247.186.202,63168 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:12:07 - TCP Packet - Source:77.247.186.202,48245 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:12:08 - TCP Packet - Source:77.247.186.202,14454 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:12:09 - TCP Packet - Source:77.247.186.202,48962 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:12:10 - TCP Packet - Source:77.247.186.202,8191 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:12:11 - TCP Packet - Source:77.247.186.202,35597 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:12:12 - TCP Packet - Source:77.247.186.202,50518 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:12:14 - TCP Packet - Source:77.247.186.202,26872 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:12:15 - TCP Packet - Source:77.247.186.202,42200 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:12:16 - TCP Packet - Source:77.247.186.202,24757 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:12:17 - TCP Packet - Source:77.247.186.202,4893 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:12:18 - TCP Packet - Source:77.247.186.202,58753 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:15:18 - TCP Packet - Source:77.247.186.202,21315 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:15:19 - TCP Packet - Source:77.247.186.202,43827 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:15:20 - TCP Packet - Source:77.247.186.202,20873 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:15:21 - TCP Packet - Source:77.247.186.202,18625 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:15:22 - TCP Packet - Source:77.247.186.202,39141 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:15:23 - TCP Packet - Source:77.247.186.202,5175 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 07:15:24 - TCP Packet - Source:77.247.186.202,6001 Destination:МойIP,4899 - [radmin rule match]

Thu, 2013-02-21 09:33:31 - TCP Packet - Source:183.89.79.72,1064 Destination:МойIP,4899 - [radmin rule match]

 

По IP ничего занимательного. Скорее всего взломанный dedicated какой-нить мелкой организации с горе-одмином (как я). Сначала юзалась московская контора, а потом, когда я был на работе, решили попробовать с Тайланда (последний IP) постучаться Но ноут уже был выключен.

 

Ну, думаю, все понятно: лоханулся с Radmin'ом. Захожу в его настройки... И вижу, что у меня ни одного юзера-то и не было создано. Я когда-то эту штуку установил и забыл про нее, т.к. Radmin'ом не пользуюсь.

Попробовал в инете найти что-нибудь по поводу дефолтных логинов и паролей для Radmin'а - нет такого. Да и по логике не должно

Я все равно не успокоился, пошел в его логи и... И меня пытались там брутить в течение 2ух месяцев и чуть ли не каждый день и разумеется с разных IP-шнегов

 

Вот мааааленькая вырезка из Radmin'овского лога:

  Цитата

...

<5352> RServer3 2013.02.21 07:10 77.247.186.202 ( ): Password is incorrect or error occurs

<5352> RServer3 2013.02.21 07:10 77.247.186.202 connection closed

<4148> RServer3 2013.02.21 07:12 77.247.186.202 (User): Password is incorrect or error occurs

<4148> RServer3 2013.02.21 07:12 77.247.186.202 connection closed

<7136> RServer3 2013.02.21 07:12 77.247.186.202 (login): Password is incorrect or error occurs

<7136> RServer3 2013.02.21 07:12 77.247.186.202 connection closed

<7148> RServer3 2013.02.21 07:12 77.247.186.202 (Login): Password is incorrect or error occurs

<7148> RServer3 2013.02.21 07:12 77.247.186.202 connection closed

<5640> RServer3 2013.02.21 07:12 77.247.186.202 (radmin): Password is incorrect or error occurs

<5640> RServer3 2013.02.21 07:12 77.247.186.202 connection closed

<6312> RServer3 2013.02.21 07:12 77.247.186.202 (Radmin): Password is incorrect or error occurs

<6312> RServer3 2013.02.21 07:12 77.247.186.202 connection closed

<6680> RServer3 2013.02.21 07:12 77.247.186.202 (RAdmin): Password is incorrect or error occurs

<6680> RServer3 2013.02.21 07:12 77.247.186.202 connection closed

<6812> RServer3 2013.02.21 07:12 77.247.186.202 (remote): Password is incorrect or error occurs

<6812> RServer3 2013.02.21 07:12 77.247.186.202 connection closed

<6344> RServer3 2013.02.21 07:12 77.247.186.202 (1234567): Password is incorrect or error occurs

<6344> RServer3 2013.02.21 07:12 77.247.186.202 connection closed

<6712> RServer3 2013.02.21 07:12 77.247.186.202 (12345678): Password is incorrect or error occurs

<6712> RServer3 2013.02.21 07:12 77.247.186.202 connection closed

<4036> RServer3 2013.02.21 07:12 77.247.186.202 (123456789): Password is incorrect or error occurs

<4036> RServer3 2013.02.21 07:12 77.247.186.202 connection closed

<4136> RServer3 2013.02.21 07:12 77.247.186.202 (adm): Password is incorrect or error occurs

<4136> RServer3 2013.02.21 07:12 77.247.186.202 connection closed

<4160> RServer3 2013.02.21 07:13 77.247.186.202 ( ): Password is incorrect or error occurs

<4160> RServer3 2013.02.21 07:13 77.247.186.202 connection closed

<7244> RServer3 2013.02.21 07:15 77.247.186.202 (admin): Password is incorrect or error occurs

<7244> RServer3 2013.02.21 07:15 77.247.186.202 connection closed

<2128> RServer3 2013.02.21 07:15 77.247.186.202 (Admin): Password is incorrect or error occurs

<2128> RServer3 2013.02.21 07:15 77.247.186.202 connection closed

<8128> RServer3 2013.02.21 07:15 77.247.186.202 (as31a): Password is incorrect or error occurs

<8128> RServer3 2013.02.21 07:15 77.247.186.202 connection closed

<6944> RServer3 2013.02.21 07:15 77.247.186.202 (z27753): Password is incorrect or error occurs

<6944> RServer3 2013.02.21 07:15 77.247.186.202 connection closed

<6924> RServer3 2013.02.21 07:15 77.247.186.202 (privedmidved): Password is incorrect or error occurs

<6924> RServer3 2013.02.21 07:15 77.247.186.202 connection closed

<4576> RServer3 2013.02.21 07:15 77.247.186.202 (medved): Password is incorrect or error occurs

<4576> RServer3 2013.02.21 07:15 77.247.186.202 connection closed

<7016> RServer3 2013.02.21 07:15 77.247.186.202 (privedmedved): Password is incorrect or error occurs

<7016> RServer3 2013.02.21 07:15 77.247.186.202 connection closed

 

В общем, наблюдаем брут. Если сопоставить с логами от роутера, то все сходится. И брут-то на самом деле бесполезный: брутить нечего, т.к. у меня ни одного пользователя не определено, а авторизация выставлена посредством Radmin'а.

 

Почесал репу. Ладно, помимо Radmin'а, остается еще 3 теоретические возможности коннекта ко мне:

 

1. RDP.

2. TeamViewer.

3. TightVNC Server.

 

 

Теперь о каждом из них:

 

1. RDP исключен, т.к. на роутере для него не прописан порт. Ну и плюс меня бы выкинуло из сеанса.

 

2. TeamViewer. Для этой штуки у меня стоит постоянный пароль. Пароль вроде как сложный. К тому же я нашел логи TV под названием "IncomingConnections.txt". Последний коннект, зафиксированный там, ноябрь прошло года и он мой. Т.е. этот вариант тоже отпадает.

 

3. TightVNC Server. А это мой основной инструмент. Пароль там средненький. Логов я не нашел. Но! Каждая попытка соединиться с TightVNC Server будет отражена в логах роутера. А там, как видно выше, ничего, связанного с TightVNC, нет.

 

 

Вот такая мистико.

 

Я, конечно, сейчас-то роутер уже настроил по полной, но все же очень интересно, что это могло быть. А вдруг роутер тут не помощник?

 

На ноуте также установлен Kaspersky Small Office Security 2. Если кто в курсе как там глянуть что-то типа логов фаервола, пожалуйста, поделитесь. Я не нашел.

 

Вообще буду благодарен любым догадкам и намекам по данному вопросу. Наверняка я что-то упустил.

 

Всех с наступающей пятницей и мужицкой Субботой!

 

 

Благодарю за внимание

 

P.S. Windows 7.

Изменено 21 февраля, 2013 пользователем The_Immortal

[пользователь]

Понравилось. Четко и понятно написано как НЕ нужно делать

[The_Immortal]

пользователь,

  пользователь сказал:

Понравилось

Очень рад!

 

А по делу что-нибудь?

[пользователь]

  The_Immortal сказал:

А по делу что-нибудь?

По делу?

На компе должна быть только ОДНА программа удаленного управления и она должна быть защищена сложным паролем из больших букв, маленьких букв, цифр и спецсимволов. Все остальные программы удаленного управления надо удалить, а те, что удалить нельзя - выключить.

 

PS. Далее вникать в "проблему" не стал.

[Pomka.]

  пользователь сказал:

По делу?

  пользователь сказал:

PS. Далее вникать в "проблему" не стал.

зачем вообще сюда писать было?

Изменено 21 февраля, 2013 пользователем Pomka.

[пользователь]

  Pomka. сказал:

зачем вообще сюда писать было?

Рома, скажи, пожалуйста - больной перед смертью потел?

[The_Immortal]

пользователь,

  пользователь сказал:

На компе должна быть только ОДНА программа удаленного управления

В моем случае ОДНА она быть не может. На роутере настроен DynDNS для использования TightVNC. Но иногда DynDNS не срабатывает (DNS != актуальному IP) и тогда спасает TeamViewer.

А один TeamViewer использовать не могу в виду того, что данный продукт не является полностью бесплатным.

 

По поводу Radmin'а я, увы, запамятовал, о чем выше писал.

 

  пользователь сказал:

должна быть защищена сложным паролем из больших букв, маленьких букв, цифр и спецсимволов.

Здесь согласен.

 

И эти выводы я уже сделал.

 

Очень буду рад выслушать доводы именно по проблеме.

 

Кстати, господа-Касперовщики,

  The_Immortal сказал:

На ноуте также установлен Kaspersky Small Office Security 2. Если кто в курсе как там глянуть что-то типа логов фаервола, пожалуйста, поделитесь. Я не нашел.

KSOS2 в выявлении слабого звена никак не поможет?

По идее он помог бы: надо было всего лишь заглянуть в "Мониторинг сети". Но увы, сессию мне тогда пришлось прервать. А истории никакой нет?

Изменено 21 февраля, 2013 пользователем The_Immortal

[пользователь]

  The_Immortal сказал:

В моем случае ОДНА она быть не может. На роутере настроен DynDNS для использования TightVNC. Но иногда DynDNS не срабатывает (DNS != актуальному IP) и тогда спасает TeamViewer.

А один TeamViewer использовать не могу в виду того, что данный продукт не является полностью бесплатным.

Ну хорошо, а зачем тогда включен RDP? Почему забыли про установленный платный radmin, через который, как я понял, вас и взломали?

 

  Цитата

KSOS2 в выявлении слабого звена никак не поможет?

По идее он помог бы: надо было всего лишь заглянуть в "Мониторинг сети". Но увы, сессию мне тогда пришлось прервать. А истории никакой нет?

Увы, KSOS я совершенно не знаю.

 

Кстати, а откуда у вас дома KSOS? Он же продается от 5 лицензий

[The_Immortal]

пользователь,

  пользователь сказал:

Ну хорошо, а зачем тогда включен RDP?

Я где-то написал, что он включен?

 

 

  пользователь сказал:

Почему забыли про установленный платный radmin

  пользователь сказал:

Кстати, а откуда у вас дома KSOS? Он же продается от 5 лицензий

Потому что это ноутбук с работы. Рассказать каким образом он очутился дома? Какие еще подробности интересуют?

  The_Immortal сказал:

P.S. Windows 7.

Ой, что же это Вы не поинтересовались лицензионная ли у меня ОС? Это же несет наиогромнеший семантический вклад в разрешении вопроса!

 

 

  пользователь сказал:

radmin, через который, как я понял, вас и взломали?

Нет. Вы неправильно поняли.

Изменено 21 февраля, 2013 пользователем The_Immortal

[пользователь]

  The_Immortal сказал:

Я где-то написал, что он включен?

Вы не написали, что он выключен - это раз.

Во-вторых, насколько я знаю, можно подменить файлы в системе после чего RDP не будет выкидывать при удаленном подключении.

В третьих - RDP может работать и не через стандартные порты. А правил на роутере, как я понимаю, у вас хватает.

 

  Цитата

Нет. Вы неправильно поняли.

Может быть. Я уже много лет, как вывел у себя radmin из сети.

 

Увы, я так и не понял, почему нельзя брутить radmin, если авторизация выставлена посредством Radmin'а. Типа, авторизация Radmin'а не брутится в принципе? А брутится только авторизация по юзерам?

[The_Immortal]

пользователь, вот это уже ближе к делу!

 

  пользователь сказал:

Вы не написали, что он выключен - это раз.

Да, согласен. Перепроверил в локальных политиках. Для группы Администраторы разрешен вход по RDP =/ Убрал.

 

  пользователь сказал:

Во-вторых, насколько я знаю, можно подменить файлы в системе после чего RDP не будет выкидывать при удаленном подключении.

Да, забыл про такое. Но по идее Каспер на такое должен был среагировать? Хотя бы в отчет что-нибудь написать...

Кстати, не подскажите, какие именно файлы? Я бы проверил.

 

  пользователь сказал:

В третьих - RDP может работать и не через стандартные порты. А правил на роутере, как я понимаю, у вас хватает.

Хм... Но дело в том, что для тех портов, на которые правила не действуют, никакого коннекта не будет.

 

  пользователь сказал:

Увы, я так и не понял, почему нельзя брутить radmin, если авторизация выставлена посредством Radmin'а. Типа, авторизация Radmin'а не брутится в принципе? А брутится только авторизация по юзерам?

Дело в том, что в настройках сервера Radmin'а определяется тип авторизации ("Radmin" и "Windows NT"). У меня выставлен "Radmin". Соответственно единственный способ приконннктиться к Radmin'у - ввести логин и пароль, определенные самим сервером Radmin'а.

Более того, необходимо определить права для каждого пользователя и неважно это Radmin-пользователь или пользователь-Windows NT. Во втором случае выбери ты хоть админскую учетку все равно для нее надо будет назначить права, иначе же коннекта никакого с сервером Radmin'а не будет. У меня нигде никаких прав не выставлено.

Изменено 21 февраля, 2013 пользователем The_Immortal

[пользователь]

  The_Immortal сказал:

Да, согласен. Перепроверил в локальных политиках. Для группы Администраторы разрешен вход по RDP =/ Убрал.

Это не то. Надо снять галочку в свойствах системы.

 

  Цитата

Да, забыл про такое. Но по идее Каспер на такое должен был среагировать? Хотя бы в отчет что-нибудь написать...

По идее - да. Но не гарантирую.

 

  Цитата

Кстати, не подскажите, какие именно файлы? Я бы проверил.

Понятия не имею.

 

  Цитата

Хм... Но дело в том, что для тех портов, на которые правила не действуют, никакого коннекта не будет.

Ну и что? Останавливаете, например, radmin, перенастраиваете rdp на порт 4899 и вуаля - rdp можно пользоваться на порту 4899, а в логах роутера будет написано [radmin rule match]. Так можно поступить не только с radmin, но и с любой другой прогой, тем более, вполне вероятно, что также как вы забыли про то, что у вас установлен radmin, то вы могли забыть, что у вас какие-нибудь древние правила на роутере есть для уже давно удаленных и неиспользуемых программ.

 

  Цитата

Дело в том, что в настройках сервера Radmin'а определяется тип авторизации ("Radmin" и "Windows NT"). У меня выставлен "Radmin". Соответственно единственный способ приконннктиться к Radmin'у - ввести логин и пароль, определенные самим сервером Radmin'а.

Увы, я не знаю, что вы подразумеваете под сервером radmin. Но в старых версиях можно было подключаться к radmin без всяких серверов - просто указав пароль от radmin.

 

Запускаете клиент, указываете имя или ип удаленного компьютера, вводите пароль и работаете.

Изменено 21 февраля, 2013 пользователем пользователь

[The_Immortal]

пользователь,

 

  пользователь сказал:

Это не то. Надо снять галочку в свойствах системы.

Понял.

 

 

  пользователь сказал:

Ну и что? Останавливаете, например, radmin, перенастраиваете rdp на порт 4899 и вуаля - rdp можно пользоваться на порту 4899, а в логах роутера будет написано [radmin rule match].

Хм... Действительно, возможно такое. Но неужели это ни в какой истории не отобразилось...

 

 

  пользователь сказал:

у вас какие-нибудь древние правила на роутере есть для уже давно удаленных и неиспользуемых программ.

Такого нет

 

 

  пользователь сказал:

Увы, я не знаю, что вы подразумеваете под сервером radmin. Но в старых версиях можно было подключаться к radmin без всяких серверов - просто указав пароль от radmin.

Запускаете клиент, указываете имя или ип удаленного компьютера, вводите пароль и работаете.

Дык а клиент-то куда будет подключаться? По-моему у Radmin'а всегда была клиент-серверная архитектура. Как иначе?

 

 

  пользователь сказал:

Останавливаете, например, radmin, перенастраиваете rdp на порт 4899

Вот вопрос: каким это образом? Какой-нибудь гадостью, которую Каспер на зафиксировал?

 

Да и у меня к RDP при всем желании не подключишься. В политике запрещено подключение с пустым паролем. А пароля к виндовым учеткам у меня попросту нет

Изменено 21 февраля, 2013 пользователем The_Immortal

[sergey888]

Я только одного не понял вот вы тут перечислили программы для удаленного доступа но я одного не пойму для подключения к вам через эти проги нужно минимум что бы они были запущены. У вас что эти программы работают в фоновом режиме?

[The_Immortal]

sergey888,

  sergey888 сказал:

У вас что эти программы работают в фоновом режиме?

Ну да, в автозагрузке. Иначе какой от них смысл?