The_Immortal 0 Опубликовано 21 февраля, 2013 Share Опубликовано 21 февраля, 2013 (изменено) Сегодня в 8:52 утра проснулся от звука входящей смс. Полуоткрытым глазом прочитал: "Сбербанк ОнЛ@йн выполнен вход ...". Вскочил с кровати, подбегаю к ноут и наблюдаю: какой-то кул-хацкер шастает по моему кабинету в Сбербанк-онлайне и пытается осуществить какую-либо транзу. Но тщетно - все операции требуют смс-подтверждения. Пожалев бедного хацкера, попробовал перехватить у него курсор, но не удалось. Пришлось вырубить комп. Конечно, злодеяние в итоге не состоялось, но все равно очень неприятно, когда кто-то шастает у тебя по компу, поэтому я решил разобраться. Отправился на работу опоздавшим и с плохим настроением. Оттуда запустил свой ноут и начал расследование. Для начала зашел на логи к роутеру. Вот они: Thu, 2013-02-21 07:09:05 - TCP Packet - Source:77.247.186.202,52595 Destination:МойIP,4899 - [radmin rule match]Thu, 2013-02-21 07:09:06 - TCP Packet - Source:77.247.186.202,62122 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:12:06 - TCP Packet - Source:77.247.186.202,63168 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:12:07 - TCP Packet - Source:77.247.186.202,48245 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:12:08 - TCP Packet - Source:77.247.186.202,14454 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:12:09 - TCP Packet - Source:77.247.186.202,48962 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:12:10 - TCP Packet - Source:77.247.186.202,8191 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:12:11 - TCP Packet - Source:77.247.186.202,35597 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:12:12 - TCP Packet - Source:77.247.186.202,50518 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:12:14 - TCP Packet - Source:77.247.186.202,26872 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:12:15 - TCP Packet - Source:77.247.186.202,42200 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:12:16 - TCP Packet - Source:77.247.186.202,24757 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:12:17 - TCP Packet - Source:77.247.186.202,4893 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:12:18 - TCP Packet - Source:77.247.186.202,58753 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:15:18 - TCP Packet - Source:77.247.186.202,21315 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:15:19 - TCP Packet - Source:77.247.186.202,43827 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:15:20 - TCP Packet - Source:77.247.186.202,20873 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:15:21 - TCP Packet - Source:77.247.186.202,18625 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:15:22 - TCP Packet - Source:77.247.186.202,39141 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:15:23 - TCP Packet - Source:77.247.186.202,5175 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 07:15:24 - TCP Packet - Source:77.247.186.202,6001 Destination:МойIP,4899 - [radmin rule match] Thu, 2013-02-21 09:33:31 - TCP Packet - Source:183.89.79.72,1064 Destination:МойIP,4899 - [radmin rule match] По IP ничего занимательного. Скорее всего взломанный dedicated какой-нить мелкой организации с горе-одмином (как я). Сначала юзалась московская контора, а потом, когда я был на работе, решили попробовать с Тайланда (последний IP) постучаться Но ноут уже был выключен. Ну, думаю, все понятно: лоханулся с Radmin'ом. Захожу в его настройки... И вижу, что у меня ни одного юзера-то и не было создано. Я когда-то эту штуку установил и забыл про нее, т.к. Radmin'ом не пользуюсь. Попробовал в инете найти что-нибудь по поводу дефолтных логинов и паролей для Radmin'а - нет такого. Да и по логике не должно Я все равно не успокоился, пошел в его логи и... И меня пытались там брутить в течение 2ух месяцев и чуть ли не каждый день и разумеется с разных IP-шнегов Вот мааааленькая вырезка из Radmin'овского лога: ...<5352> RServer3 2013.02.21 07:10 77.247.186.202 ( ): Password is incorrect or error occurs <5352> RServer3 2013.02.21 07:10 77.247.186.202 connection closed <4148> RServer3 2013.02.21 07:12 77.247.186.202 (User): Password is incorrect or error occurs <4148> RServer3 2013.02.21 07:12 77.247.186.202 connection closed <7136> RServer3 2013.02.21 07:12 77.247.186.202 (login): Password is incorrect or error occurs <7136> RServer3 2013.02.21 07:12 77.247.186.202 connection closed <7148> RServer3 2013.02.21 07:12 77.247.186.202 (Login): Password is incorrect or error occurs <7148> RServer3 2013.02.21 07:12 77.247.186.202 connection closed <5640> RServer3 2013.02.21 07:12 77.247.186.202 (radmin): Password is incorrect or error occurs <5640> RServer3 2013.02.21 07:12 77.247.186.202 connection closed <6312> RServer3 2013.02.21 07:12 77.247.186.202 (Radmin): Password is incorrect or error occurs <6312> RServer3 2013.02.21 07:12 77.247.186.202 connection closed <6680> RServer3 2013.02.21 07:12 77.247.186.202 (RAdmin): Password is incorrect or error occurs <6680> RServer3 2013.02.21 07:12 77.247.186.202 connection closed <6812> RServer3 2013.02.21 07:12 77.247.186.202 (remote): Password is incorrect or error occurs <6812> RServer3 2013.02.21 07:12 77.247.186.202 connection closed <6344> RServer3 2013.02.21 07:12 77.247.186.202 (1234567): Password is incorrect or error occurs <6344> RServer3 2013.02.21 07:12 77.247.186.202 connection closed <6712> RServer3 2013.02.21 07:12 77.247.186.202 (12345678): Password is incorrect or error occurs <6712> RServer3 2013.02.21 07:12 77.247.186.202 connection closed <4036> RServer3 2013.02.21 07:12 77.247.186.202 (123456789): Password is incorrect or error occurs <4036> RServer3 2013.02.21 07:12 77.247.186.202 connection closed <4136> RServer3 2013.02.21 07:12 77.247.186.202 (adm): Password is incorrect or error occurs <4136> RServer3 2013.02.21 07:12 77.247.186.202 connection closed <4160> RServer3 2013.02.21 07:13 77.247.186.202 ( ): Password is incorrect or error occurs <4160> RServer3 2013.02.21 07:13 77.247.186.202 connection closed <7244> RServer3 2013.02.21 07:15 77.247.186.202 (admin): Password is incorrect or error occurs <7244> RServer3 2013.02.21 07:15 77.247.186.202 connection closed <2128> RServer3 2013.02.21 07:15 77.247.186.202 (Admin): Password is incorrect or error occurs <2128> RServer3 2013.02.21 07:15 77.247.186.202 connection closed <8128> RServer3 2013.02.21 07:15 77.247.186.202 (as31a): Password is incorrect or error occurs <8128> RServer3 2013.02.21 07:15 77.247.186.202 connection closed <6944> RServer3 2013.02.21 07:15 77.247.186.202 (z27753): Password is incorrect or error occurs <6944> RServer3 2013.02.21 07:15 77.247.186.202 connection closed <6924> RServer3 2013.02.21 07:15 77.247.186.202 (privedmidved): Password is incorrect or error occurs <6924> RServer3 2013.02.21 07:15 77.247.186.202 connection closed <4576> RServer3 2013.02.21 07:15 77.247.186.202 (medved): Password is incorrect or error occurs <4576> RServer3 2013.02.21 07:15 77.247.186.202 connection closed <7016> RServer3 2013.02.21 07:15 77.247.186.202 (privedmedved): Password is incorrect or error occurs <7016> RServer3 2013.02.21 07:15 77.247.186.202 connection closed В общем, наблюдаем брут. Если сопоставить с логами от роутера, то все сходится. И брут-то на самом деле бесполезный: брутить нечего, т.к. у меня ни одного пользователя не определено, а авторизация выставлена посредством Radmin'а. Почесал репу. Ладно, помимо Radmin'а, остается еще 3 теоретические возможности коннекта ко мне: 1. RDP. 2. TeamViewer. 3. TightVNC Server. Теперь о каждом из них: 1. RDP исключен, т.к. на роутере для него не прописан порт. Ну и плюс меня бы выкинуло из сеанса. 2. TeamViewer. Для этой штуки у меня стоит постоянный пароль. Пароль вроде как сложный. К тому же я нашел логи TV под названием "IncomingConnections.txt". Последний коннект, зафиксированный там, ноябрь прошло года и он мой. Т.е. этот вариант тоже отпадает. 3. TightVNC Server. А это мой основной инструмент. Пароль там средненький. Логов я не нашел. Но! Каждая попытка соединиться с TightVNC Server будет отражена в логах роутера. А там, как видно выше, ничего, связанного с TightVNC, нет. Вот такая мистико. Я, конечно, сейчас-то роутер уже настроил по полной, но все же очень интересно, что это могло быть. А вдруг роутер тут не помощник? На ноуте также установлен Kaspersky Small Office Security 2. Если кто в курсе как там глянуть что-то типа логов фаервола, пожалуйста, поделитесь. Я не нашел. Вообще буду благодарен любым догадкам и намекам по данному вопросу. Наверняка я что-то упустил. Всех с наступающей пятницей и мужицкой Субботой! Благодарю за внимание P.S. Windows 7. Изменено 21 февраля, 2013 пользователем The_Immortal Цитата Ссылка на сообщение Поделиться на другие сайты
пользователь 220 Опубликовано 21 февраля, 2013 Share Опубликовано 21 февраля, 2013 Понравилось. Четко и понятно написано как НЕ нужно делать Цитата Ссылка на сообщение Поделиться на другие сайты
The_Immortal 0 Опубликовано 21 февраля, 2013 Автор Share Опубликовано 21 февраля, 2013 пользователь, Понравилось Очень рад! А по делу что-нибудь? Цитата Ссылка на сообщение Поделиться на другие сайты
пользователь 220 Опубликовано 21 февраля, 2013 Share Опубликовано 21 февраля, 2013 А по делу что-нибудь? По делу? На компе должна быть только ОДНА программа удаленного управления и она должна быть защищена сложным паролем из больших букв, маленьких букв, цифр и спецсимволов. Все остальные программы удаленного управления надо удалить, а те, что удалить нельзя - выключить. PS. Далее вникать в "проблему" не стал. Цитата Ссылка на сообщение Поделиться на другие сайты
Pomka. 2 082 Опубликовано 21 февраля, 2013 Share Опубликовано 21 февраля, 2013 (изменено) По делу? PS. Далее вникать в "проблему" не стал. зачем вообще сюда писать было? Изменено 21 февраля, 2013 пользователем Pomka. Цитата Ссылка на сообщение Поделиться на другие сайты
пользователь 220 Опубликовано 21 февраля, 2013 Share Опубликовано 21 февраля, 2013 зачем вообще сюда писать было? Рома, скажи, пожалуйста - больной перед смертью потел? Цитата Ссылка на сообщение Поделиться на другие сайты
The_Immortal 0 Опубликовано 21 февраля, 2013 Автор Share Опубликовано 21 февраля, 2013 (изменено) пользователь, На компе должна быть только ОДНА программа удаленного управления В моем случае ОДНА она быть не может. На роутере настроен DynDNS для использования TightVNC. Но иногда DynDNS не срабатывает (DNS != актуальному IP) и тогда спасает TeamViewer. А один TeamViewer использовать не могу в виду того, что данный продукт не является полностью бесплатным. По поводу Radmin'а я, увы, запамятовал, о чем выше писал. должна быть защищена сложным паролем из больших букв, маленьких букв, цифр и спецсимволов. Здесь согласен. И эти выводы я уже сделал. Очень буду рад выслушать доводы именно по проблеме. Кстати, господа-Касперовщики, На ноуте также установлен Kaspersky Small Office Security 2. Если кто в курсе как там глянуть что-то типа логов фаервола, пожалуйста, поделитесь. Я не нашел. KSOS2 в выявлении слабого звена никак не поможет? По идее он помог бы: надо было всего лишь заглянуть в "Мониторинг сети". Но увы, сессию мне тогда пришлось прервать. А истории никакой нет? Изменено 21 февраля, 2013 пользователем The_Immortal Цитата Ссылка на сообщение Поделиться на другие сайты
пользователь 220 Опубликовано 21 февраля, 2013 Share Опубликовано 21 февраля, 2013 В моем случае ОДНА она быть не может. На роутере настроен DynDNS для использования TightVNC. Но иногда DynDNS не срабатывает (DNS != актуальному IP) и тогда спасает TeamViewer.А один TeamViewer использовать не могу в виду того, что данный продукт не является полностью бесплатным. Ну хорошо, а зачем тогда включен RDP? Почему забыли про установленный платный radmin, через который, как я понял, вас и взломали? KSOS2 в выявлении слабого звена никак не поможет?По идее он помог бы: надо было всего лишь заглянуть в "Мониторинг сети". Но увы, сессию мне тогда пришлось прервать. А истории никакой нет? Увы, KSOS я совершенно не знаю. Кстати, а откуда у вас дома KSOS? Он же продается от 5 лицензий Цитата Ссылка на сообщение Поделиться на другие сайты
The_Immortal 0 Опубликовано 21 февраля, 2013 Автор Share Опубликовано 21 февраля, 2013 (изменено) пользователь, Ну хорошо, а зачем тогда включен RDP? Я где-то написал, что он включен? Почему забыли про установленный платный radmin Кстати, а откуда у вас дома KSOS? Он же продается от 5 лицензий Потому что это ноутбук с работы. Рассказать каким образом он очутился дома? Какие еще подробности интересуют? P.S. Windows 7. Ой, что же это Вы не поинтересовались лицензионная ли у меня ОС? Это же несет наиогромнеший семантический вклад в разрешении вопроса! radmin, через который, как я понял, вас и взломали? Нет. Вы неправильно поняли. Изменено 21 февраля, 2013 пользователем The_Immortal Цитата Ссылка на сообщение Поделиться на другие сайты
пользователь 220 Опубликовано 21 февраля, 2013 Share Опубликовано 21 февраля, 2013 Я где-то написал, что он включен? Вы не написали, что он выключен - это раз. Во-вторых, насколько я знаю, можно подменить файлы в системе после чего RDP не будет выкидывать при удаленном подключении. В третьих - RDP может работать и не через стандартные порты. А правил на роутере, как я понимаю, у вас хватает. Нет. Вы неправильно поняли. Может быть. Я уже много лет, как вывел у себя radmin из сети. Увы, я так и не понял, почему нельзя брутить radmin, если авторизация выставлена посредством Radmin'а. Типа, авторизация Radmin'а не брутится в принципе? А брутится только авторизация по юзерам? Цитата Ссылка на сообщение Поделиться на другие сайты
The_Immortal 0 Опубликовано 21 февраля, 2013 Автор Share Опубликовано 21 февраля, 2013 (изменено) пользователь, вот это уже ближе к делу! Вы не написали, что он выключен - это раз. Да, согласен. Перепроверил в локальных политиках. Для группы Администраторы разрешен вход по RDP =/ Убрал. Во-вторых, насколько я знаю, можно подменить файлы в системе после чего RDP не будет выкидывать при удаленном подключении. Да, забыл про такое. Но по идее Каспер на такое должен был среагировать? Хотя бы в отчет что-нибудь написать... Кстати, не подскажите, какие именно файлы? Я бы проверил. В третьих - RDP может работать и не через стандартные порты. А правил на роутере, как я понимаю, у вас хватает. Хм... Но дело в том, что для тех портов, на которые правила не действуют, никакого коннекта не будет. Увы, я так и не понял, почему нельзя брутить radmin, если авторизация выставлена посредством Radmin'а. Типа, авторизация Radmin'а не брутится в принципе? А брутится только авторизация по юзерам? Дело в том, что в настройках сервера Radmin'а определяется тип авторизации ("Radmin" и "Windows NT"). У меня выставлен "Radmin". Соответственно единственный способ приконннктиться к Radmin'у - ввести логин и пароль, определенные самим сервером Radmin'а. Более того, необходимо определить права для каждого пользователя и неважно это Radmin-пользователь или пользователь-Windows NT. Во втором случае выбери ты хоть админскую учетку все равно для нее надо будет назначить права, иначе же коннекта никакого с сервером Radmin'а не будет. У меня нигде никаких прав не выставлено. Изменено 21 февраля, 2013 пользователем The_Immortal Цитата Ссылка на сообщение Поделиться на другие сайты
пользователь 220 Опубликовано 21 февраля, 2013 Share Опубликовано 21 февраля, 2013 (изменено) Да, согласен. Перепроверил в локальных политиках. Для группы Администраторы разрешен вход по RDP =/ Убрал. Это не то. Надо снять галочку в свойствах системы. Да, забыл про такое. Но по идее Каспер на такое должен был среагировать? Хотя бы в отчет что-нибудь написать... По идее - да. Но не гарантирую. Кстати, не подскажите, какие именно файлы? Я бы проверил. Понятия не имею. Хм... Но дело в том, что для тех портов, на которые правила не действуют, никакого коннекта не будет. Ну и что? Останавливаете, например, radmin, перенастраиваете rdp на порт 4899 и вуаля - rdp можно пользоваться на порту 4899, а в логах роутера будет написано [radmin rule match]. Так можно поступить не только с radmin, но и с любой другой прогой, тем более, вполне вероятно, что также как вы забыли про то, что у вас установлен radmin, то вы могли забыть, что у вас какие-нибудь древние правила на роутере есть для уже давно удаленных и неиспользуемых программ. Дело в том, что в настройках сервера Radmin'а определяется тип авторизации ("Radmin" и "Windows NT"). У меня выставлен "Radmin". Соответственно единственный способ приконннктиться к Radmin'у - ввести логин и пароль, определенные самим сервером Radmin'а. Увы, я не знаю, что вы подразумеваете под сервером radmin. Но в старых версиях можно было подключаться к radmin без всяких серверов - просто указав пароль от radmin. Запускаете клиент, указываете имя или ип удаленного компьютера, вводите пароль и работаете. Изменено 21 февраля, 2013 пользователем пользователь Цитата Ссылка на сообщение Поделиться на другие сайты
The_Immortal 0 Опубликовано 21 февраля, 2013 Автор Share Опубликовано 21 февраля, 2013 (изменено) пользователь, Это не то. Надо снять галочку в свойствах системы. Понял. Ну и что? Останавливаете, например, radmin, перенастраиваете rdp на порт 4899 и вуаля - rdp можно пользоваться на порту 4899, а в логах роутера будет написано [radmin rule match]. Хм... Действительно, возможно такое. Но неужели это ни в какой истории не отобразилось... у вас какие-нибудь древние правила на роутере есть для уже давно удаленных и неиспользуемых программ. Такого нет Увы, я не знаю, что вы подразумеваете под сервером radmin. Но в старых версиях можно было подключаться к radmin без всяких серверов - просто указав пароль от radmin.Запускаете клиент, указываете имя или ип удаленного компьютера, вводите пароль и работаете. Дык а клиент-то куда будет подключаться? По-моему у Radmin'а всегда была клиент-серверная архитектура. Как иначе? Останавливаете, например, radmin, перенастраиваете rdp на порт 4899 Вот вопрос: каким это образом? Какой-нибудь гадостью, которую Каспер на зафиксировал? Да и у меня к RDP при всем желании не подключишься. В политике запрещено подключение с пустым паролем. А пароля к виндовым учеткам у меня попросту нет Изменено 21 февраля, 2013 пользователем The_Immortal Цитата Ссылка на сообщение Поделиться на другие сайты
sergey888 61 Опубликовано 21 февраля, 2013 Share Опубликовано 21 февраля, 2013 Я только одного не понял вот вы тут перечислили программы для удаленного доступа но я одного не пойму для подключения к вам через эти проги нужно минимум что бы они были запущены. У вас что эти программы работают в фоновом режиме? Цитата Ссылка на сообщение Поделиться на другие сайты
The_Immortal 0 Опубликовано 21 февраля, 2013 Автор Share Опубликовано 21 февраля, 2013 sergey888, У вас что эти программы работают в фоновом режиме? Ну да, в автозагрузке. Иначе какой от них смысл? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.