Что делать после обнаружения взлома...

 
Ситуация такова.
Питер. Один из институтов на учёном совете решил открыть для сотрудников доступ в И-нет (4-5 телефонов==модемов). Трафик до 60 Мб/мес бесплатный, больше - 3 р/Мб. И за трафиком следите сами, т.к. у нас нет на это времени и сил и вообще мы наукой занимаемся, а не компьютерами.
Поскольку "сисадмина у нас нет, а его и.о. ни хрена ни знает, и платят ему мало" пришёл кто-то и настроил Linux. И ушёл.

Я помог товарищу настроиться на этот доступ (машина - Win98SE), и сказал - будешь качать что большое - купи карточку на ночной и-нет.Так и порешили.
Протоколы для обоих модемных коннектов оставили TCP/IP только, выполнили инструкции провайдеров.
Поскольку у товарища дома две машины в локалке, диск C: машины с модемом был расшарен. Поскольку я не знал, что никакого счётчика нет и уведомлений о перерасходе не будет, а также наивно полагали, что взлом его минует, больше не делали ничего.
Год прошёл без проблем.

Вдруг ему сообщают, что у него жуткий перерасход, 300 мбайт за месяц, и предлагают заплатить 900 р. Анализ протоколов доступа показывает, что кто-то лазает в инет под его паролем.

Замдира Института (который проталкивал введение этого сервиса) заявил, что сохранность пароля - это обязанность юзеров, что мы сами обязаны смотреть логи, что введение скрипта, рассылающего логи доступа юзерам на сервер - непосильная для и.о. сисадмина и дорогая, если приглашать спеца процедура, что не нравится- не пользуйтесь, а если хотите и дальше работать с нами - заплатите деньги и смените пароль. Расследовать и ловить хакера не будем. У него самого у дочки пришёл дружок и напользовался по самое немогу - и он заплатил.

Кстати, сервер настроен так, что при заходе терминалом на один из телефонов доступа, выдаётся версия операционки - Линукс такой-то...

Вот такой анамнез....

Диагноз (мой).
Есть 2 варианта.
1.Каким-то образом его домашнюю машину хакнули и достали пароли и телефоны. Слабо представляю, возможно ли это по TCP/IP.
2.Хакнули институтскую машину. Если сисадмина нет - всё может случиться.

Варианты лечения:
А:
1. Простой: Заплатить - здоровье дороже. И с вами мы больше не работаем - одолжений нам мне надо.
2. "Правильный": Когда отлOвите хакера, пусть он и платит. Мы пароля никому не давали. А несанкционированный доступ - это УК. Отловить этого хакера - нет проблем, милиции можно подарить домашний (скорее всего) телефон этого злыдня. Милиция любит дела, которые и раскрывать-то не надо.
3. "Мягкий": Вот вам деньги... Но если вы не лOвите хакера - до свиданья...

И вообще, может, поставить ему Linux?
В Mandrake 8, говорят, dial-up легко настраивается...

[i]Что Вы думаете по сему поводу?[/i]
 
+
-
edit
 

varban

администратор
★★★
Vale>Вдруг ему сообщают, что у него жуткий перерасход, 300 мбайт за месяц, и предлагают заплатить 900 р. Анализ протоколов доступа показывает, что кто-то лазает в инет под его паролем.

Логи!
Надо все документировать и сохранить. Знаю случаи, когда сомнение в логах заваливало всю охоту на хакера - полиция отказалась его ловить.

Vale>Замдира Института (который проталкивал введение этого сервиса) заявил, что сохранность пароля - это обязанность юзеров, что мы сами обязаны смотреть логи,

Это да, это он точно...

> что введение скрипта, рассылающего логи доступа юзерам на сервер - непосильная для и.о. сисадмина

Ню-ню... а на что сисадмин, хоть и и.о. ?

Vale>Кстати, сервер настроен так, что при заходе терминалом на один из телефонов доступа, выдаётся версия операционки - Линукс такой-то...

Частая дыра.

Vale>1.Каким-то образом его домашнюю машину хакнули и достали пароли и телефоны. Слабо представляю, возможно ли это по TCP/IP.

99%. Трояном.

Vale>2.Хакнули институтскую машину. Если сисадмина нет - всё может случиться.

Врядь ли. Тогда не только он был бы пострадавшим. Хотя 1% оставил :smile: Vale>2. "Правильный": Когда отлOвите хакера, пусть он и платит. Мы пароля никому не давали. А несанкционированный доступ - это УК. Отловить этого хакера - нет проблем, милиции можно подарить домашний (скорее всего) телефон этого злыдня. Милиция любит дела, которые и раскрывать-то не надо.

Не пробовал, поэтому так и говоришь. За $30 никто протокол даже не составит. Вот если бы сайт Путина хакнули, тогда бы зашевелились.

Vale>И вообще, может, поставить ему Linux?

А он разберется?
Если он поймал трояна, то врядь ли...

Vale>В Mandrake 8, говорят, dial-up легко настраивается...

Ага. Если модем правильный, делать нечего.
 
+
-
edit
 

Sokrat

модератор

По закону с Вашего товарища ничего стребовать не смогут, явно, поэтому вопрос номер раз - нельзя просто послать их в лес и пусть что хотят, то и делают? :rolleyes: Ну а по поводу "как такое произошло" соображения такие:
1) Сервер не ломали, либо это сделал некто, кто очень хотел досадить именно вашему товарищу, поскольку для того, чтобы списать все на него, хакеру пришлось бы не просто получить рута на сервере, а еще и проделать некоторые телодвижения для получения его пароля (расшифровать :biggrin: или перехватить во время логина) или коррекции логов.
2) Возможно, имел место банальный подбор логина - распространенный логин и простой пароль? Логин/пароль, используемые еще где-то (например, на работе)?
3) Или вирус/троян на машине товарища отослал логин "куда надо".

>И вообще, может, поставить ему Linux?

А оно ему надо? :rolleyes: Это я как линуксоид спрашиваю :rolleyes: , поскольку если это единственный повод (и то не очень явный какой-то :wink: ), то лучше не стоит - дальше установки дело не продвинется, скорее всего. :tongue: А ставить (если таки решится) лучше ALTLinux Junior - специально для начинающих дистрибутив. Если окрутеет - легко можно апгрэйдить/расширять.

 
Досадить товарищу - это вряд ли кто хотел.

Логи? Так у них они есть и там как раз прописано, что когда товарища дома не было, кто-то ползал.

Логины в Институте для доступа по РРР имеют довольно простую систему, но пароли - судя по известному- случайный набор букв и цифр. Правильные.

Троян ... гхм... Как я понимаю, его нужно ещё загрузить и активировать - а инструкции на сей счёт были даны чёткие - ничего не грузить. И насчёт почты тоже. Браузер, кстати, был MSIE 5. Без патчей. Стоял DrWeb, изредка обновляемый.

Моё основное предположение всё же - активный хак. Кстати, у меня (а меня привлекли как "эксперта" пострадавшей стороны) всё ещё нет инфы о том, единственный ли это такой случай в этом институте ....

Я думаю, что если админ принципиально не ловит хакера, доверять ему нельзя. То есть надо оттуда уходить.

Кстати.
Сколько, по-Вашему, стоит работа спеца по запуску dial-up сервера на 4 линии - и раз в пару месяцев обновление системы?
Adduser и тамошние институтские "спецы" наверняка способны сделать...

Да, система товарища - Soltek 75 KAV, ISA USR Sportster 56k.
"Правильный" вроде бы модем.
В моих силах прописать в /etc/fstab раздел FAT32, и объяснить, как пользоваться Иксами. Запуск системы- автоматически иксы с НетШкафом. Вышел из Netscape- reboot -n.

P.S. Нет хакера опаснее, чем непрофессиональный сисадмин.
Я не поручусь, что на той системе нет файла с паролями и логинами.Ведь в каждой первой книге написано про то, что версию ОС при логине выдавать нельзя!
 
+
-
edit
 

Sokrat

модератор

>Досадить товарищу - это вряд ли... кто хотел

Тогда вариант со взломом сервера опускается еще ниже варбановского 1% :wink: >Логи? Так у них они есть и там как раз прописано, что когда товарища дома не было, кто-то ползал.

Логи - это обычные файлы, которые можно редактировать, обладая соответствующими правами, конечно.

>Троян ... гхм... Как я понимаю, его нужно ещё загрузить и активировать - а инструкции на сей счёт были даны чёткие. И насчёт почты тоже.

Инструкций недостаточно. :rolleyes: Этот вариант весьма вероятен - проверьте машину товарища антивирусами.

>То есть основное предположение - активный хак.

Увы, все не так романтично :tongue: - спертый трояном, либо подсмотренный посторонним пароль намного вероятнее.

>"Правильный" вроде бы модем.

Да, с таким модемом проблем не должно быть.

 
Так бесят больше всего не деньги, а заявы типа "ловить не будем".
И то, что простейшая рассылка логов - или просто предупреждений о том, что лимит превышен - считается за непосильный труд.
В моих программах по мере возможности есть защита от дурака. Я всегда исхожу из того, что юзер не должен следить за тем, за чем он может не следить. А тут нарвался на такое отношение... :mad: Простейшее правило - не можешь, не берись!
Кстати, насчёт троянов... я с момента хака уже переформатировал там систему, но образ диска (Ghost) должен был остаться. Попробую самым обновлённым DrWeb'oм по нему пройтись.
Да, почта там - ДОСовая. UUPC.
Так что единственной дырой для трояна мог быть ПМСМ IE.
Но интернет-почтой пользовался там только я. И то пару раз и не помню уже когда.
 
+
-
edit
 

varban

администратор
★★★
Я лично убивал трояна, который залез в машину (не в мою) с игрового диска. Из журнала :mad: С начала 2000 года (раньше меня это не интересовало) я знаю штук 5 случаев выпуска зараженных дисков в тираже журналов. А это десятки тысяч...
Что тогда говорить о простом обмене файлов? Дискеткой-то тоже можно...
 
+
-
edit
 

varban

администратор
★★★
Может ты и прав.
У меня профискажение - если кто-то садится за моей машиной, я ему профиль делаю. Пароль не даю...
 
+
-
edit
 

=KRoN=
Balancer

администратор
★★★★☆
Трояны - не миф :frown: Особенно последняя серия самозапускаемых...
У меня недавно от очень разбирающегося и опытного знакомого свалилось одно такое... Если уж такие люди не уберегаются.

И у себя в оутбоксе находил свои логины с паролями... Правда, хоть не из ценных. И, кстати, не в пресловутом OE/Win32, а в NC4/Linux... Вот так, вот...
 
GB Nick_Crak #29.12.2001 19:04
+
-
edit
 

Nick_Crak
Wyvern

аксакал

админ. бан
varban>Я лично убивал трояна, который залез в машину (не в мою) с игрового диска. Из журнала :mad: Из моего опыта - трояны, всякие там стррррашные коровы...все это лажа. Кто то РАЗБОЛТАЛ пароль, и кто то из ЗНАКОМЫХ(может даже хорошо знакомых) воспользовался этим. Тем более что из анамнеза(скорее катамнеза :smile: )проистекает, что есть возможность НЕ ЗАПЛАТИТЬ, а просто послать. Сие требует "оперативной работы на уровне межличностных контактов" - самая грязная и тяжелая работа :frown: Ник
Объективная реальность - вариант бреда, обычно вызывается низким уровнем концентрации алкоголя в крови.
 
GB Nick_Crak #29.12.2001 20:07
+
-
edit
 

Nick_Crak
Wyvern

аксакал

админ. бан
varban>Может ты и прав.
varban>У меня профискажение - если кто-то садится за моей машиной, я ему профиль делаю. Пароль не даю...

А я даю по морде лица :mad: У меня заставка включается через 59 сек и вход через alt-ctrl-del :smile: Это же ПЕРСОНАЛЬНЫЙ компьютер.
Хоть и сервер :smile: Ник
Объективная реальность - вариант бреда, обычно вызывается низким уровнем концентрации алкоголя в крови.
 
Развитие событий: после нашего сообщения (утром в пятницу) хакер в субботу насидел ещё 10 часов -150р...
А в воскресенье- ещё часа 4.
Ню-ню...
Жалко, что товарищ флегма и ссориться с замдира ему не с руки. :mad:
 

teos

новичок
Мой совет - пускай проверит тщательно на трояны!
Причем спецальной программой для этого, а не антивирусами - они
как правило троянов не ловят. Для этого есть например PS Door Guard (http://www.pcdoorsguard.nm.ru/index.html)
У меня был случай, когда из нашей конторы тырили пароль трояном,
так когда я все-таки его нашел, через некоторое время он снова
появлялся, причем как он попадал на машину - я так и не понял.
Трояны - это действительно не миф!
И еще совет - никогда не сохранять в dail-up'е пароли. Пускай
не совсем удобно, но это как раз то место, откуда их уводят.
На бумажке - надежнее :biggrin:
 

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru