» Флейм для сисадминов (часть III)

Йа так понял, что USB-2-IDE - это переходник, в который с одной стороны втыкается винчеSтер, а другой стороной он впихивается в юсб-порт компьютера. Сколько такая вещь стоит$

15-20$
по разному бывает

Други, подскажите, что такого можно было в групповых политиках домена выставить, что у всех пользователей теперь ограничение на изменение свойств сетевых адаптеров и беспроводных сетей?
ОС WinServer 2008 standart
у юзеров Win7 pro
проблема возникла, из-за непонятного сотрудника, который до меня наделал хлама в конторе и ушел. По уму в групповой политике никаких особенных правил не задано.
сам эту версию сервера юзаю несколько дней, может что не понимаю.
да и пофиг бы ан эти правила, так тут все в разъездах и буки с собой таскают, а раз в домене, то все равно на изменение пароль админский нужен
В обем i need help, как Данила Багров говорил)

Цитата:

"Я начинающий сисадмин, у меня ничего не работает."

Здравствуйте вам!!!
Ситуасьён такова,что серьёзно хакнули шлюз у клиентов(до меня там был другой заведующий сетями и стоял у него юзергейт(крыво настроенный)+norton интернет секурити).Всё это привело к тому, что шлюз был сравни дуршлаку и через него не ходил только ленивый.Самое печальное,что было намотано 200 гиг трафика по 1,2 руб мб.И теперь клиенту светил нехиленькая сумма за тырнет.Детализация соединений у провайдера выдала множество ип подключённых к компу в выходные,когда в офисе никого не было.Вяленький юзергейт тоже кое-чего зафиксировал(а именно накрутку трафика с различных ип 80% которых Штатовские).Характерно то,что 95% ип проходили по порту 3389.Вот хочется узнать у людей бывалых можно ли каким-то способом выявить злоумышленника.Или это почти бесполезное занятие,учитывая,что скорее всего все эти ип сами были использованы для скрытия следов?

O1e1ukoe
очень маловероятно, что увидите какие-то дельные ip...
они скорее всего
1 - проксировали трафик
2 - использовали Tor
3 - это вообще ботнет!

И вообще откуда такой трафик с RDP? Или они получи доступ к машине и с неё уже по RDP гуляли? Если они просто пытались брутить, то что-то я не в тыкаю откуда такой огромный трафик...

O1e1ukoe
1. Вас не хакнули. Это, скорее всего, "привет" от предшественника. С ваших машин просто слили инфу.
2. Вы пароли меняли, после приема дел? Если нет - косяк на Вашей совести.
3. Наводка: у адсл-щиков Укртелекома - американские ИП. Посмотрите через Whois, кому они принадлежат. Если одному прову, можно написать письмо их админам, по логам они определят, кто это был. Если оно один и тот же человек, можно будет что-то сделать.

Пароли естественно сменили.Причём, уже дважды после предшественника.В том то и дело,что на 15 машинах в данной сети не наберётся 200гиг полезной инфы для кого либо.Больше похоже на месть с целью поставить на бабки.Просто хочется узнать.Такие случаи нередки?

O1e1ukoe
может предшественник вам торрент настроил на порту 3389?
Брандмаур windows на клиентских машинах включен и настроен должным образом или отключен?
порт 3389 проброшен на шлюзе до клиентских/клиентской машин?

Порт 3389 проброшен на одну машину,т.к есть необходимость постоянного доступа к ней. Торрента нет.На клиентских машинах отсутствует фаервол.Какова его необходимость,если поставить хорошо настроенный фаервол на шлюзовую машину?

O1e1ukoe
а вы смотрели что у вас в службах установлено на том компьютере, может есть "левые" подозрительные службы?

O1e1ukoe
Цитата:

что было намотано 200 гиг трафика

Входящий или исходящий? Оплачивается только входящий или наибольший трафик в любую сторону? Канал широкий? Скайпом пользуетесь?
Цитата:

Порт 3389 проброшен на одну машину

Смените порт.

Трафик именно входящий(по цене 1.1р за мегабайт),исходящий не считал(оно и понятно почему, но он гораздно меньше входящего).Трафик намотан не из под пользователей, а в обход их.Usergate(насколько ему можно доверять) выдал логи,что у всех пользователей достаточно скромный трафик. А вот с нескольких десятков ip(иностранных, в массе своей сша) шла закачка по 500-900 мб.
Да, там не порт надо менять.А переделывать полностью защиту.Меня особо интересует возможность найти концы этих злоумышленников.Но всё уж сделано очень хитро.Причём пробив часть ip, которые участвовали в этой вакханалии, я заметил,что у них самих куча открытых портов,что ,как мне кажется, явно говорит о пассивной роли этих бедолаг в данной акции.

O1e1ukoe
Цитата:

Да, там не порт надо менять.А переделывать полностью защиту

Вам не кажется, что изменение номера порта это один из шагов по усилению безопасности?

Цитата:

Причём пробив часть ip, которые участвовали в этой вакханалии

Ботнет.

Цитата:

А вот с нескольких десятков ip(иностранных, в массе своей сша) шла закачка по 500-900 мб.

Это исходящий трафик.

Добавлено:
а вы говорите про входящий?

Добавлено:
O1e1ukoe
У вас исходящий трафик всем клиентам сети разрешен?

Добавлено:
O1e1ukoe
Возможно, вы сами участвуете в общей ботнет сети. Клиент сейчас в минусе и интернета нет?

Исходящий трафик клиентам разрешён.Вот мне и интересно в каких целях, используя ботнет, накручивается внешний трафик.Т.к. в данной ситуации входящий трафик намного превосходил исходящий.
Если цель была навредить компании поставив её таким способом на бабки за входящий трафик - это всё можно было организовать таким именно способом?

Народ поздравьте меня я снова в отпуске Первый раз не получилось

Цитата:

мне и интересно в каких целях, используя ботнет

на википедии подробно.

Цитата:

Если цель была навредить компании поставив её таким способом на бабки за входящий трафик

Тут скорее третье - жуткая экономия клиента, сэкономленные средства были направлены на борьбу против борьбы с ботнет сетями.

d0r0fey
Супер ....вас развели)))))))

grumm

Цитата:

Народ поздравьте меня я снова в отпуске

от всей души как отдыхать думаешь?

DJMC
ХОРОШО

grumm

а я 16 хочу на 10 дней
поеду на острова...
начальство позвало и донесло, что у меня 3 недели прошлого года и 5 недель этого... сказали надо отгулять... когда только не знаю....

Добавлено:
комрады, кто-нить игрался с NAP и DirectAccess? на сколько геморройно?

Цитата:

комрады, кто-нить игрался с NAP и DirectAccess? на сколько геморройно?

тааак... пора к отпуску готовиться!!! Выкинь "мусор" из головы!!!

grumm
телефон отключи, и всем говори, что едишь в аул, тем нет интернета и сивилизации ))) чтоб не достали

artemk

а куда именно, какие острова ?

Цитата:

пора к отпуску готовиться!!!

небольшой ридми перед отпуском:

Краткие правила поведения админа на летнем отдыхе

Не устанавливай локальных сеток. Сетевые устройства могут вызвать конфликты с Рыбнадзором, а это лечится потом долго. Лучше ставь локальную удочку на берегу, но только не из портов. В портах большой траффик, погонят.

Если криво установилась палатка - надо не полениться и пеpеустановить.

Если устанавливаешь впервые - обязательно изучи мануал, там много нетривиального.

Скачивать воду лучше из колонок, она посвежее: та, что идет в комплекте с ландшафтом, не всегда корректно работает - может потом отвлекать частыми прерываниями.

Самые свежие дрова работают хуже всего. Они еще сырые, на них обычно требуется лицензия (если сломать - могут возникнуть конфликты). Поэтому лучше всего брать старый отстой. Но он имеет свойство падать при первом обращении - умей вовремя отскочить.

Файрвол окопай и обложи камнями. По окончании работы перед самым выходом - зашутдаунь ногами и залей туда свой лог, попросив, дам отвернуться.

Спальльний мешок обычно велик по объему, но хорошо сжимается с помощью компрессионного пакета любой версии.

Все источники питания кроме консервов архивируй последовательно в два-три-четыре пакета - иначе после грозы питание может надолго вырубиться.

На консервах всегда смотри на версии. Старые версии не используй и не храни - выбрасывай без сомнений, они очень глючат.

Следи, чтобы у палатки всегда была хорошая прошивка. Особенно если там установлен какой-нибудь эмулятор виндоус - потенциальная дыра в безопасности.

Если есть возможность - поставь себе антивирус против энцефалитного бага и столбняка. Не ставь сам, воспользуйся стандартным доктором - он все пропишет и поставит как надо под лопатку.

Собирая рюкзак, не пользуйся комплектами, которые много весят - ищи более легкие и компактные аналоги. Иначе будет проблема с местом. Помни: от частых перезагрузок позвоночника может полететь диск! Восстановить диск - большая проблема.

Бережно храни ключи и документацию на себя: в герметичном пакетике в кармане рюкзака. Потеряешь - не восстановишь.

grumm
хорошего отпуска

блин, какаято сволочь обрезала оптику метрах в 30 от головного узла.

вот руки бы вырывать за такие действия и засовывать туда откуда они у них должны расти.

goletsa
оО а она что там по столбам кинута? Так кажется только в крайних случаях делают - обычно вроде под землей...

Eric Lazzy
вообще зачёт!!!

Добавлено:
щас притащил с работы домой запасной Cisco SLM224G - надеюсь что разберусь... 1-ый раз увижу настройку Cisco
У нас на работе организация построила сеть на цисках, и сказала, что настройка за отдельные деньги - на что получила отказ, и вот используем такие и еще SLM2024 как простые коммутаторы... Надеюсь что под разберусь хотя бы на примитивном уровне как с ними общаться - пока даже не знаю как к ним обратится)

Alukardd
Цитата:

1-ый раз увижу настройку Cisco

Существуют эмуляторы кисок CISCO. Аккурат для тестовых целей: и понастраивать можно и всякий хлам домой не носить.
Цитата:

пока даже не знаю как к ним обратится)

Попробуйте "Ваше величество".

reff
Цитата:

Существуют эмуляторы кисок CISCO. Аккурат для тестовых целей: и понастраивать можно и всякий хлам домой не носить.

про эмуляторы знаю - для разнообразия моделей буду пробовать... думал попробовать gns3... какие комментарии будут по этому поводу??? есть предпочтения?

Цитата:

Попробуйте "Ваше величество".

пока именно так и обращаюсь

Alukardd
Цитата:

1-ый раз увижу настройку Cisco

Циска и Линксис, как говорят в Одессе, две большие разницы. Так что знакомство твое с циской пока откладывается.
Вообще то, если все производители сетевых устройств будут дрейфовать в данном направлении, то скоро в Москве не только дворники, но и сисадмины будут таджики и молдаване.