Взлом сервера чата

[Maine]

Являюсь держателем сервера чата. Не то чтобы серьёзно заморочился, но пока народу десяток, но будущее покажет, если будет уже сотня, покупка чата это дело чести (ибо неудобно перед пользователями лично мне станет и куплю однозначно), теперь о теме.

Вчера захожу в чат, я сам снят с админства как и мои назначенные админы, простые юзеры (назначениями управляю только я, всего два админа, людей знаю лично, все взрослые. Также исключено что баловались их дети или что они поведали кому то пароль, люди надёжные). Приветствие майн канала и правила чата изменены на противополжные. Переключаю монитор на сервер (сервер в тёмной комнате) смотрю логи, вкратце: "Зашёл чувак, незнаю что он сделал и с помощью чего он поснимал админов, стал сам им, прописав себе все права, сменил мотд и правила".

Я снял с него права, опять поназначал своих двух админов, написал им оффлайн мессаги, чтобы сменили пароли и лёг спать. Утром читаю чат, вкратце: "Зашёл опять тот чувак (кто сделал себя админом), и требовал прям таки требова "Кто меня снял?", "Вы что чата хотите лишиться?", "Я вам устрою кузькину мать, если права админа не вернёте, попля`шете как вчера".

Перед работой утром пришлось этого клоуна забанить на файрволле, благо сервер стоит дома. А сли бы не дома а хостинг?

Хотелось бы узнать, это что озачает? Как могли ваше изделие раскодировать или разобрать, понять алгоритм работы, и нашли способ воровства паролей либо назначение левых админов. И вот, ну как бы, возникает много вопросов. Понятно что я чат не решаюсь покупать из-за того, что он ещё не настолько большой проэкт. Но тут вообще как бы руки опускаются, если его так могут ломать.

ps могу логи кинуть сюда, кусок от его прихода до назначения. Если нужно, но только вечером, после работы как домой приду. Нужно?

[BORDER]

Интересный случай, а разработчики доказывают что чат "невозможно взломать, он самый надёжный..."

[Padonag]

весьма интересный случай впервые такое происходит можно логи посматреть?

[hornet_ru]

Можно, конечно, преположить, что в серверной части Commfort-a нашли уязвимость и использовали её, но намноооого более вероятно, что хакнули не чат, а операционную систему. Посмотри в прикрепленный скриншот - приблизительно так должна выглядеть секция "Установка и удаление программ" в контрольной панели Windows XP SP3, если установить галочку "Показать обновления" (отмечено красной стрелкой). И что-то мне подсказывает, что на Вашем сервере максимум что установлено из обновлений, так это какой-нибудь СервисПак. А например для той же Windows XP уже после ServicePack 3 вышло более 30-ти обновлений безпасности, латающих различные уязвимости в системе, среди которых, например, довольно сильно нашумевшая недавно MS08-067, которой подверглись и WinXP SP3 и Vista SP1 и даже беты Windows 7.
И если я прав, и Вы действительно не устанавливаете обновления на операционную систему, оставляя её полностью незащищенной, то удивляться абсолютно нечему. И наверняка просто какой-нибудь Скрипт-кидди с помощью скачанной из Интернета утилиты получил доступ к вашей "винде" и соответственно к серверной части Commfort-a.

Для начала попробуйте остановить системную службу "Сервер" на машине с сервером чата... (можно сделать с помощью команды net stop server в командной строке - служба остановится только до последующей перезагрузки системы)... Спровоцируйте злоумышленника (опять заберите у него права админа и разблокируйте его на фаерволе).. и посмотрите сможет ли он опять получить доступ к серверу. Вполне, кстати, возможно, что злоумышленник для своего удобства уже успел скрыто установить у Вас на сервере какую-нибудь утилиту удаленного администрирования (radmin и т.д.); также мог создать себе учетную запись в системе с правами Администратора и разрешить "удаленные сеансы (RDP)" - тогда помимо самой уязвимости, через которую произошло первое проникновение на сервер придется закрывать и эту брешь.. Самый быстрый способ - это проверить нет ли в Windows лишних учетных записей пользователей и закрыть на фаерволе все ненужые порты (а точнее - закрыть все и оставить только нужные).

[DENS]

ниче удивительно. жаловаться на взломаный чат? бред
не удивлюсь, если тот пакостник и есть создатель кряка

[hornet_ru]

ниче удивительно. жаловаться на взломаный чат? бред
не удивлюсь, если тот пакостник и есть создатель кряка

Я вообще-то написал, что взлом чата неисключен, но взлом непропатченной операционки с помощью готового эксплоита видится мне наиболее вероятным. И о существовании какого-то "кряка" говорить рано, т.к. неизвестно в чем использована уязвимость... и уязвимость ли это была вообще... Слишком много неизвестных в этом уравнении...

[Maine]

весьма интересный случай впервые такое происходит можно логи посматреть?

Вечером выложу весь лог, от начала его прибытия до его внедрения в админ ряды.

[Maine]

ниче удивительно. жаловаться на взломаный чат? бред
не удивлюсь, если тот пакостник и есть создатель кряка

game.balnet.ru 9740 наш чат

[Maxim Mirgorodsky]

Изменение прав возможно лишь пользователем с установленным правом "управление правами", либо с помощью интерфейса серверной стороны.

По логу можно узнать кто и когда изменял права (если конечно они менялись не с интерфейса программы-сервера). Если злоумышленник воспользовался украденным паролем одного из модераторов прав - это будет видно. Еще можно включить лог авторизации - будет протоколироваться каждое событие авторизации и по нему можно будет отследить с каких IP-адресов заходили модераторы прав. Но все это неактуально если злоумышленник имеет доступ к серверу.

Изменение прав от пользователя без установленного права "управление правами" невозможно.
Получение пароля чужого пользователя средствами чата - тоже.

[Maine]

Изменение прав возможно лишь пользователем с установленным правом "управление правами", либо с помощью интерфейса серверной стороны.

По логу можно узнать кто и когда изменял права (если конечно они менялись не с интерфейса программы-сервера). Если злоумышленник воспользовался украденным паролем одного из модераторов прав - это будет видно. Еще можно включить лог авторизации - будет протоколироваться каждое событие авторизации и по нему можно будет отследить с каких IP-адресов заходили модераторы прав. Но все это неактуально если злоумышленник имеет доступ к серверу.

Изменение прав от пользователя без установленного права "управление правами" невозможно.
Получение пароля чужого пользователя средствами чата - тоже.

Выходит на все вопросы ответит лог сервера. К сожалению я щас на работе, а вечером кусок лога от авторизации до его манипуляций как админа выложу.

Можно, конечно, преположить, что в серверной части Commfort-a нашли уязвимость и использовали её, но намноооого более вероятно, что хакнули не чат, а операционную систему. Посмотри в прикрепленный скриншот - приблизительно так должна выглядеть секция "Установка и удаление программ" в контрольной панели Windows XP SP3, если установить галочку "Показать обновления" (отмечено красной стрелкой). И что-то мне подсказывает, что на Вашем сервере максимум что установлено из обновлений, так это какой-нибудь СервисПак. А например для той же Windows XP уже после ServicePack 3 вышло более 30-ти обновлений безпасности, латающих различные уязвимости в системе, среди которых, например, довольно сильно нашумевшая недавно MS08-067, которой подверглись и WinXP SP3 и Vista SP1 и даже беты Windows 7.
И если я прав, и Вы действительно не устанавливаете обновления на операционную систему, оставляя её полностью незащищенной, то удивляться абсолютно нечему. И наверняка просто какой-нибудь Скрипт-кидди с помощью скачанной из Интернета утилиты получил доступ к вашей "винде" и соответственно к серверной части Commfort-a.

Для начала попробуйте остановить системную службу "Сервер" на машине с сервером чата... (можно сделать с помощью команды net stop server в командной строке - служба остановится только до последующей перезагрузки системы)... Спровоцируйте злоумышленника (опять заберите у него права админа и разблокируйте его на фаерволе).. и посмотрите сможет ли он опять получить доступ к серверу. Вполне, кстати, возможно, что злоумышленник для своего удобства уже успел скрыто установить у Вас на сервере какую-нибудь утилиту удаленного администрирования (radmin и т.д.); также мог создать себе учетную запись в системе с правами Администратора и разрешить "удаленные сеансы (RDP)" - тогда помимо самой уязвимости, через которую произошло первое проникновение на сервер придется закрывать и эту брешь.. Самый быстрый способ - это проверить нет ли в Windows лишних учетных записей пользователей и закрыть на фаерволе все ненужые порты (а точнее - закрыть все и оставить только нужные).

Всё верно, на сервере СП-2 не более. Злоумышленник забанен Брадмауером, на уровне приложения (чат), пока тишина.

Версию о взломе системы проверю вечером, это мысль, но опять всё покажут логи

[Seruy]

Собсна он с (217.19.211.102)


[04.05.2009 - 19:34:29.22] ass (217.19.211.102): запросил регистрацию
[04.05.2009 - 19:34:39.428] AlexLorn -1 (82.200.49.251): запросил регистрацию
[04.05.2009 - 19:41:57.22] •°•~~   _В_и_Ф_е_н_к_@  ~~•°• (217.19.211.102): запросил регистрацию
[04.05.2009 - 20:12:07.959] v47310cm (82.200.49.251): запросил регистрацию
[04.05.2009 - 20:12:22.412] v47310cm (82.200.49.251): изменил пароль для своей учетной записи
[04.05.2009 - 20:32:34.6] Оля! (82.200.49.251): запросил регистрацию
[04.05.2009 - 20:48:24.944] Влад! (82.200.49.251): запросил регистрацию
[04.05.2009 - 20:48:48.866] Влад! (82.200.49.251): изменил пароль для своей учетной записи
[04.05.2009 - 22:02:35.834] Армяночка (195.46.33.89): запросил регистрацию
[04.05.2009 - 22:24:12.662] _†_V@NJ@™_†_ (95.30.54.80): запросил регистрацию
[04.05.2009 - 22:25:22.537] T_V_I_K_S_и_МАРКИЗА (89.175.52.250): запросил регистрацию
[04.05.2009 - 22:27:48.616] Nadin_[notebook] (91.149.162.139): запросил регистрацию
[04.05.2009 - 22:35:53.772] Анюточка)))))) (193.33.236.158): запросил регистрацию
[04.05.2009 - 22:36:12.225] Анюточка)))))) (193.33.236.158): изменил пароль для своей учетной записи
[04.05.2009 - 23:42:48.741] 6uRic (93.125.44.146): запросил регистрацию
[04.05.2009 - 23:51:14.569] Pro100_Kenny (95.71.32.165): запросил регистрацию
[04.05.2009 - 23:51:20.678] Pro100_Kenny (95.71.32.165): изменил пароль для своей учетной записи
[05.05.2009 - 0:04:39.381] •BeLIEvkA• (91.211.104.1): ограничил пользователя Pro100_Kenny
[05.05.2009 - 0:08:44.334] •BeLIEvkA• (91.211.104.1): изменил настройки канала main
[05.05.2009 - 0:09:16.959] To$iK (95.71.54.76): запросил регистрацию
[05.05.2009 - 0:09:25.787] •Настенька• (91.211.104.131): изменил настройки канала викторина
[05.05.2009 - 0:09:33.303] To$iK (95.71.54.76): изменил пароль для своей учетной записи
[05.05.2009 - 0:47:12.6] altea (193.109.160.58): запросил регистрацию
[05.05.2009 - 0:51:03.459] •BeLIEvkA• (91.211.104.1): ограничил пользователя To$iK
[05.05.2009 - 1:21:56.84] •BeLIEvkA• (91.211.104.1): изменил настройки канала main
[05.05.2009 - 1:22:00.69] •BeLIEvkA• (91.211.104.1): изменил настройки канала main
[05.05.2009 - 1:22:52.803] •BeLIEvkA• (91.211.104.1): изменил настройки канала main
[05.05.2009 - 1:23:48.84] •BeLIEvkA• (91.211.104.1): изменил настройки канала main
[05.05.2009 - 2:13:30.678] Холост (89.175.52.250): запросил регистрацию
[05.05.2009 - 2:32:18.959] ~~antichrist~~ (82.200.49.251): запросил регистрацию
[05.05.2009 - 5:54:16.819] MYXOMOP (91.122.159.183): запросил регистрацию
[05.05.2009 - 5:54:24.850] MYXOMOP (91.122.159.183): изменил пароль для своей учетной записи
[05.05.2009 - 7:19:30.350] ~ DobrbIu ~ (82.200.49.251): запросил регистрацию
[05.05.2009 - 9:22:51.537] А-р-с-е-н (87.226.188.67): запросил регистрацию
[05.05.2009 - 9:23:03.475] А-р-с-е-н (87.226.188.67): изменил пароль для своей учетной записи
[05.05.2009 - 9:23:26.678] А-р-с-е-н (87.226.188.67): изменил пароль для своей учетной записи
[05.05.2009 - 10:14:41.428] Macik (217.19.211.102): запросил регистрацию
[05.05.2009 - 10:15:12.162] Macik (217.19.211.102): изменил пароль для своей учетной записи
[05.05.2009 - 10:27:11.84] DEN (193.109.160.58): запросил регистрацию
[05.05.2009 - 10:51:19.522] spartanec (91.203.67.71): запросил регистрацию
[05.05.2009 - 11:54:17.959] artem121 (92.113.143.152): запросил регистрацию
[05.05.2009 - 12:35:30.928] Ogil (91.205.181.89): запросил регистрацию
[05.05.2009 - 12:35:46.912] Ogil (91.205.181.89): изменил пароль для своей учетной записи
[05.05.2009 - 14:54:52.819] Kenny (95.132.111.101): запросил регистрацию
[05.05.2009 - 14:55:10.272] Kenny (95.132.111.101): изменил пароль для своей учетной записи
[05.05.2009 - 14:55:24.225] Kenny (95.132.111.101): изменил пароль для своей учетной записи
[05.05.2009 - 15:55:25.662] Venon (194.146.230.17): запросил регистрацию
[05.05.2009 - 15:55:43.131] Venon (194.146.230.17): изменил пароль для своей учетной записи
[05.05.2009 - 15:55:53.241] Venon (194.146.230.17): изменил пароль для своей учетной записи
[05.05.2009 - 16:15:54.772] serega (80.72.239.38): запросил регистрацию
[05.05.2009 - 16:16:01.866] serega (80.72.239.38): изменил пароль для своей учетной записи
[05.05.2009 - 16:35:17.366] ivAsuN95 (91.124.32.144): запросил регистрацию
[05.05.2009 - 16:36:15.694] ~VERSUS~ (194.126.224.90): запросил регистрацию
[06.05.2009 - 9:36:11.484] catrin (193.33.26.34): запросил регистрацию
[06.05.2009 - 9:36:23.671] catrin (193.33.26.34): изменил пароль для своей учетной записи
[06.05.2009 - 10:29:24.859] Kiler_SSS (77.239.203.106): запросил регистрацию
[06.05.2009 - 11:26:27.125] Лючио Риманец (93.81.89.66): запросил регистрацию
[06.05.2009 - 11:26:53.281] Лючио Риманец (93.81.89.66): изменил пароль для своей учетной записи
[06.05.2009 - 12:24:22.515] OLG@ (80.72.239.38): запросил регистрацию
[06.05.2009 - 14:13:36.875] лапочка (193.33.26.34): запросил регистрацию
[06.05.2009 - 14:13:38.265] ~Glamour_Girl~ (193.41.187.242): запросил регистрацию
[06.05.2009 - 14:13:48.828] ~Glamour_Girl~ (193.41.187.242): изменил пароль для своей учетной записи
[06.05.2009 - 14:13:49.687] лапочка (193.33.26.34): изменил пароль для своей учетной записи
[06.05.2009 - 14:17:42.0] GOR (77.234.14.44): запросил регистрацию
[06.05.2009 - 14:18:06.515] GOR (77.234.14.44): изменил пароль для своей учетной записи
[06.05.2009 - 14:23:34.125] GOR (77.234.14.44): создал канал qqqq
[06.05.2009 - 15:11:05.156] КЕТОРОЛ (10.172.13.250): запросил регистрацию
[06.05.2009 - 15:25:34.218] s-=ENEMY=-s (213.130.28.154): запросил регистрацию
[06.05.2009 - 15:25:45.156] s-=ENEMY=-s (213.130.28.154): изменил пароль для своей учетной записи
[06.05.2009 - 16:50:29.265] Маська (93.81.95.230): запросил регистрацию
[06.05.2009 - 18:09:25.609] Миколка (93.84.57.85): запросил регистрацию
[06.05.2009 - 18:09:39.140] Миколка (93.84.57.85): изменил пароль для своей учетной записи
[06.05.2009 - 20:15:46.203] Thunder (194.146.228.30): запросил регистрацию
[06.05.2009 - 21:14:32.500] •Seruy• (91.211.104.132): ограничил пользователя 93.85.54.104
[06.05.2009 - 21:14:40.875] •Seruy• (91.211.104.132): удалил сообщение в канале main
[06.05.2009 - 21:21:30.15] ~Glamour_Girl~ (193.41.187.242): создал канал 91.211.104.13127015
[06.05.2009 - 21:27:28.93] gg (10.172.13.250): запросил регистрацию
[06.05.2009 - 21:27:45.312] gg (10.172.13.250): изменил пароль для своей учетной записи
[06.05.2009 - 22:55:29.812] ZoMbey13 (93.81.94.149): запросил регистрацию
[06.05.2009 - 23:00:26.859] ‰Mikolka‰ (93.84.50.34): запросил регистрацию
[06.05.2009 - 23:05:37.140] ‰Mikolka‰ (93.84.50.34): создал канал 11111111111111
[07.05.2009 - 0:33:23.531] Ромэо (194.146.228.130): создал канал искусство кунг-фу
[07.05.2009 - 1:58:04.953] BloodDragoN (10.172.13.250): запросил регистрацию
[07.05.2009 - 1:58:13.296] BloodDragoN (10.172.13.250): изменил пароль для своей учетной записи
[07.05.2009 - 3:17:22.578] SolariS (85.238.96.162): запросил регистрацию
[07.05.2009 - 9:05:01.125] ‡~Аматорка~‡ (95.134.150.183): запросил регистрацию
[07.05.2009 - 9:05:16.937] ‡~Аматорка~‡ (95.134.150.183): изменил пароль для своей учетной записи
[07.05.2009 - 11:07:37.843] •BeLIEvkA• (91.211.104.1): изменил настройки канала main
[07.05.2009 - 13:50:23.828] •BeLIEvkA• (91.211.104.1): изменил настройки канала main
[07.05.2009 - 14:50:22.843] •BeLIEvkA• (91.211.104.1): изменил настройки канала main
[07.05.2009 - 15:07:39.828] prapor (91.211.104.1): запросил регистрацию
[07.05.2009 - 15:22:53.890] BG (94.190.114.132): запросил регистрацию
[07.05.2009 - 17:38:41.718] Таха (193.109.160.58): запросил регистрацию
[07.05.2009 - 18:55:35.859] Владуська (194.146.228.57): запросил регистрацию
[07.05.2009 - 20:04:36.937] {SAINT}Leshiy (10.172.13.9): запросил регистрацию
[07.05.2009 - 20:04:58.15] {SAINT}Leshiy (10.172.13.9): изменил пароль для своей учетной записи
[07.05.2009 - 22:20:19.937] BALSER (194.146.228.39): запросил регистрацию
[07.05.2009 - 22:20:27.500] BALSER (194.146.228.39): изменил пароль для своей учетной записи
[08.05.2009 - 2:58:22.953] Хzibit (91.204.248.6): запросил регистрацию
[08.05.2009 - 2:58:41.62] Хzibit (91.204.248.6): изменил пароль для своей учетной записи
[08.05.2009 - 10:47:33.875] RIDDICK (217.173.21.5): запросил регистрацию
[08.05.2009 - 12:43:18.93] Ksuffa Willson (80.64.175.1): запросил регистрацию
[08.05.2009 - 12:43:36.187] Ksuffa Willson (80.64.175.1): изменил пароль для своей учетной записи
[08.05.2009 - 12:47:14.921] Ksuffa Willson (80.64.175.1): создал канал rap канал
[08.05.2009 - 13:10:44.250] Butt-Head (92.112.82.199): запросил регистрацию
[08.05.2009 - 13:11:01.953] Butt-Head (92.112.82.199): изменил пароль для своей учетной записи
[08.05.2009 - 14:58:42.359] tre (217.144.165.247): запросил регистрацию
[08.05.2009 - 14:58:48.468] tre (217.144.165.247): изменил пароль для своей учетной записи
[08.05.2009 - 15:11:07.812] СBeTuk (89.232.124.209): запросил регистрацию
[08.05.2009 - 15:11:17.671] СBeTuk (89.232.124.209): изменил пароль для своей учетной записи
[08.05.2009 - 16:48:06.203] GoLdSt@r (91.198.83.2): запросил регистрацию
[08.05.2009 - 16:56:01.859] Sver (77.239.200.236): запросил регистрацию
[08.05.2009 - 16:56:48.359] Дима1985 (195.184.215.97): запросил регистрацию
[08.05.2009 - 16:57:03.656] Дима1985 (195.184.215.97): изменил пароль для своей учетной записи
[08.05.2009 - 17:26:47.703] 12 (92.124.56.219): запросил регистрацию
[08.05.2009 - 18:07:29.0] Riga (62.221.70.74): запросил регистрацию
[08.05.2009 - 19:13:25.625] TORRES (93.81.113.87): запросил регистрацию
[08.05.2009 - 19:13:45.156] TORRES (93.81.113.87): изменил пароль для своей учетной записи
[08.05.2009 - 21:59:58.968] Кульна_Диваха (194.146.228.134): запросил регистрацию
[08.05.2009 - 22:00:02.484] •Настенька• (91.211.104.131): изменил настройки канала викторина
[08.05.2009 - 22:00:14.203] Кульна_Диваха (194.146.228.134): изменил пароль для своей учетной записи
[08.05.2009 - 22:07:55.875] КуЛьНа_ДиВаХа;) (194.146.228.134): запросил регистрацию
[08.05.2009 - 23:30:39.421] ¤~ХРустальный кепКО~¤ (91.211.107.32): запросил регистрацию
[08.05.2009 - 23:56:51.718] BloodDragoN (91.211.104.1): создал канал трали-вали
[09.05.2009 - 10:25:52.359] zooy (91.211.104.1): запросил регистрацию
[09.05.2009 - 10:26:21.421] zooy (91.211.104.1): изменил пароль для своей учетной записи
[09.05.2009 - 10:41:55.796] зуйййй (91.211.104.1): запросил регистрацию
[09.05.2009 - 10:42:18.171] зуйййй (91.211.104.1): изменил пароль для своей учетной записи
[09.05.2009 - 12:31:10.515] OleG (Воскресенск)_Lapa (213.171.61.135): запросил регистрацию
[09.05.2009 - 12:31:21.453] OleG (Воскресенск)_Lapa (213.171.61.135): изменил пароль для своей учетной записи
[09.05.2009 - 14:17:13.234] маг (194.146.230.160): запросил регистрацию
[09.05.2009 - 14:17:22.906] маг (194.146.230.160): изменил пароль для своей учетной записи
[09.05.2009 - 16:42:09.843] Emk@ (77.87.156.143): запросил регистрацию
[09.05.2009 - 16:42:19.625] Emk@ (77.87.156.143): изменил пароль для своей учетной записи
[09.05.2009 - 18:16:22.703] BAD BOY (93.81.95.102): запросил регистрацию
[09.05.2009 - 18:16:33.328] BAD BOY (93.81.95.102): изменил пароль для своей учетной записи
[09.05.2009 - 19:28:17.171] •Flip• (77.37.144.134): удалил сообщение в канале main
[10.05.2009 - 4:45:51.750] cTaBb kaceTy (90.155.164.179): запросил регистрацию
[10.05.2009 - 4:46:08.859] cTaBb kaceTy (90.155.164.179): изменил пароль для своей учетной записи
[10.05.2009 - 10:21:54.296] Fliper (91.124.114.235): запросил регистрацию
[10.05.2009 - 12:31:04.937] Shinigami (95.30.119.249): запросил регистрацию
[10.05.2009 - 12:31:17.500] Shinigami (95.30.119.249): изменил пароль для своей учетной записи
[10.05.2009 - 12:32:25.546] хитрый кот (194.146.230.160): запросил регистрацию
[10.05.2009 - 12:48:22.875] Incognito (91.203.62.121): создал канал авава
[10.05.2009 - 13:10:40.484] Rin (91.211.104.1): запросил регистрацию
[10.05.2009 - 13:15:21.250] Puzan (93.81.92.215): запросил регистрацию
[10.05.2009 - 13:37:46.343] Friday The13th (77.120.80.207): запросил регистрацию
[10.05.2009 - 14:33:04.593] Sanek;) (193.109.166.38): запросил регистрацию
[10.05.2009 - 16:30:36.875] lXl Гаара lXl (194.8.137.90): запросил регистрацию
[10.05.2009 - 16:41:04.62] •BeLIEvkA• (91.211.104.1): изменил права для учетной записи •BeLIEvkA•
[10.05.2009 - 16:41:43.500] •BeLIEvkA• (91.211.104.1): изменил права для учетной записи •BeLIEvkA•
[10.05.2009 - 16:45:35.656] •BeLIEvkA• (10.172.11.54): изменил права для учетной записи •BeLIEvkA•
[10.05.2009 - 21:24:07.234] kyzma (80.93.126.66): запросил регистрацию
[10.05.2009 - 21:46:50.250] Головная боль=))) (80.93.126.66): запросил регистрацию
[10.05.2009 - 21:47:01.218] Головная боль=))) (80.93.126.66): изменил пароль для своей учетной записи
[10.05.2009 - 22:10:28.15] iLeech (217.19.211.102): запросил регистрацию
[10.05.2009 - 22:10:37.453] iLeech (217.19.211.102): изменил пароль для своей учетной записи
[10.05.2009 - 22:18:16.328] Jemes (217.19.211.102): запросил регистрацию
[10.05.2009 - 22:37:15.468] ник@ (217.118.66.102): запросил регистрацию
[10.05.2009 - 22:42:53.640] ника (217.118.66.101): запросил регистрацию
[10.05.2009 - 23:06:24.109] BlooDmaN (10.172.16.235): запросил регистрацию
[10.05.2009 - 23:06:30.140] BlooDmaN (10.172.16.235): изменил пароль для своей учетной записи
[11.05.2009 - 9:11:38.62] WinFile (77.238.102.215): запросил регистрацию
[11.05.2009 - 10:06:58.437] CAIIIOK_RIN (91.211.104.1): запросил регистрацию
[11.05.2009 - 14:42:32.234] денис сталин (95.78.210.214): запросил регистрацию
[11.05.2009 - 14:43:01.671] денис сталин (95.78.210.214): изменил пароль для своей учетной записи
[11.05.2009 - 14:44:58.593] ддд (95.78.210.214): запросил регистрацию
[11.05.2009 - 18:09:33.312] imsa (87.119.228.70): запросил регистрацию
[11.05.2009 - 18:09:47.843] imsa (87.119.228.70): изменил пароль для своей учетной записи
[11.05.2009 - 18:15:14.500] •Flip• (77.37.144.217): ограничил пользователя imsa
[11.05.2009 - 18:15:26.453] •Flip• (77.37.144.217): удалил сообщение в канале main
[11.05.2009 - 19:35:23.890] Deril (84.22.140.186): запросил регистрацию
[11.05.2009 - 19:55:34.406] Серёжик-Ёжик (217.19.211.102): запросил регистрацию
[11.05.2009 - 20:05:34.875] Smicro (193.239.129.193): запросил регистрацию
[11.05.2009 - 20:10:50.468] dьi@VoL~ (217.19.211.102): запросил регистрацию
[11.05.2009 - 20:11:07.531] dьi@VoL~ (217.19.211.102): изменил пароль для своей учетной записи
[11.05.2009 - 21:09:47.93] 3или-боба (91.210.217.194): запросил регистрацию
[11.05.2009 - 21:17:12.375] Guffer (91.210.217.194): запросил регистрацию
[11.05.2009 - 22:00:07.734] Mc[SK[o]4] (91.200.139.189): запросил регистрацию
[11.05.2009 - 22:00:27.562] Mc[SK[o]4] (91.200.139.189): изменил пароль для своей учетной записи
[11.05.2009 - 22:35:34.78] LORD (91.204.248.6): запросил регистрацию
[11.05.2009 - 23:22:46.140] SERG-G (80.72.239.38): запросил регистрацию
[11.05.2009 - 23:23:14.546] •Настенька• (91.211.104.131): изменил настройки канала викторина
[11.05.2009 - 23:37:54.906] SENYA (80.72.239.38): запросил регистрацию
[12.05.2009 - 0:00:57.156] Taksist (77.120.212.209): запросил регистрацию
[12.05.2009 - 0:01:12.93] Taksist (77.120.212.209): изменил пароль для своей учетной записи
[12.05.2009 - 0:07:10.937] Touchy (91.210.217.194): запросил регистрацию
[12.05.2009 - 0:36:18.812] Swiss (93.125.45.98): запросил регистрацию
[12.05.2009 - 1:53:37.109] YAD (194.44.126.85): запросил регистрацию
[12.05.2009 - 13:33:28.390] mam6a (91.210.217.194): запросил регистрацию
[12.05.2009 - 13:36:14.15] }{oTT@6b)4 (10.172.6.99): запросил регистрацию
[12.05.2009 - 13:36:25.765] }{oTT@6b)4 (10.172.6.99): изменил пароль для своей учетной записи
[12.05.2009 - 16:58:27.15] Seruy (217.19.211.102): создал канал информер
[12.05.2009 - 17:08:18.546] Seruy (217.19.211.102): изменил настройки канала main
[12.05.2009 - 17:14:47.375] Seruy (217.19.211.102): удалил сообщение в канале викторина
[12.05.2009 - 17:21:13.406] Seruy (217.19.211.102): изменил права для учетной записи Викторина
[12.05.2009 - 17:21:14.937] Seruy (217.19.211.102): изменил права для учетной записи Мафия
[12.05.2009 - 17:21:17.46] Seruy (217.19.211.102): изменил права для учетной записи •Flip•
[12.05.2009 - 17:21:18.890] Seruy (217.19.211.102): изменил права для учетной записи •ViNNiGRietT•
[12.05.2009 - 17:21:20.968] Seruy (217.19.211.102): изменил права для учетной записи •BeLIEvkA•
[12.05.2009 - 17:21:23.484] Seruy (217.19.211.102): изменил права для учетной записи •Funy•
[12.05.2009 - 17:21:25.703] Seruy (217.19.211.102): изменил права для учетной записи •BaRkaS•
[12.05.2009 - 17:21:29.453] Seruy (217.19.211.102): изменил права для учетной записи ViNNiGRietT note
[12.05.2009 - 17:21:31.234] Seruy (217.19.211.102): изменил права для учетной записи 735
[12.05.2009 - 17:21:32.859] Seruy (217.19.211.102): изменил права для учетной записи Maine
[12.05.2009 - 17:21:34.484] Seruy (217.19.211.102): изменил права для учетной записи Fil
[12.05.2009 - 17:21:36.171] •Настенька• (91.211.104.131): изменил настройки канала викторина
[12.05.2009 - 17:21:36.328] Seruy (217.19.211.102): изменил права для учетной записи •Undertaker•
[12.05.2009 - 17:22:19.484] Seruy (217.19.211.102): удалил учетную запись MC JoKeR
[12.05.2009 - 17:22:54.406] Mc JoKeR (217.19.211.102): запросил регистрацию
[12.05.2009 - 17:23:01.687] Mc JoKeR (217.19.211.102): изменил пароль для своей учетной записи
[12.05.2009 - 17:23:20.328] •Настенька• (91.211.104.131): изменил настройки канала викторина
[12.05.2009 - 17:24:03.328] •Настенька• (91.211.104.131): изменил настройки канала викторина
[12.05.2009 - 17:24:12.921] Seruy (217.19.211.102): изменил права для учетной записи Mc JokeR
[12.05.2009 - 17:24:37.328] •Настенька• (91.211.104.131): изменил настройки канала викторина
[12.05.2009 - 17:25:13.203] Seruy (217.19.211.102): изменил права для учетной записи Mc JoKeR
[12.05.2009 - 17:25:18.593] Seruy (217.19.211.102): изменил права для учетной записи Mc JokeR
[12.05.2009 - 17:25:20.328] •Настенька• (91.211.104.131): изменил настройки канала викторина
[12.05.2009 - 17:25:27.359] Seruy (217.19.211.102): изменил права для учетной записи Mc JoKeR
[12.05.2009 - 17:29:26.250] Mc JoKeR (217.19.211.102): изменил права для учетной записи •Seruy•
[12.05.2009 - 20:02:04.421] †omen† (195.49.206.158): запросил регистрацию
[12.05.2009 - 20:40:54.500] ВИТ_АЛИК (10.172.10.38): запросил регистрацию
[12.05.2009 - 20:41:02.781] ВИТ_АЛИК (10.172.10.38): изменил пароль для своей учетной записи
[12.05.2009 - 20:56:45.187] TYSON (80.72.239.38): запросил регистрацию
[12.05.2009 - 21:06:13.468] OmeGA (94.50.252.4): запросил регистрацию
[12.05.2009 - 21:06:59.343] OmeGA (94.50.252.4): изменил пароль для своей учетной записи
[12.05.2009 - 21:07:16.718] OmeGA (94.50.252.4): изменил пароль для своей учетной записи
[12.05.2009 - 21:34:55.93] Shadow_Stalker (194.146.230.17): запросил регистрацию
[12.05.2009 - 21:54:41.453] Seruy (91.211.104.132): изменил права для учетной записи •Seruy•
[12.05.2009 - 21:54:46.93] Seruy (91.211.104.132): изменил права для учетной записи Mc JoKeR
[12.05.2009 - 21:54:48.109] Seruy (91.211.104.132): изменил права для учетной записи Seruy
[12.05.2009 - 21:57:09.609] •Seruy• (91.211.104.132): изменил настройки канала main
[12.05.2009 - 21:58:23.109] •Seruy• (91.211.104.132): изменил пароль для учетной записи •Seruy•
[12.05.2009 - 22:09:31.937] •Seruy• (91.211.104.132): изменил права для учетной записи •BaRkaS•
[12.05.2009 - 22:09:39.125] •Seruy• (91.211.104.132): изменил права для учетной записи •BaRkaS•
[12.05.2009 - 22:09:45.265] •Seruy• (91.211.104.132): снял ограничение с пользователя 93.85.54.104
[12.05.2009 - 22:09:46.265] •Seruy• (91.211.104.132): снял ограничение с пользователя 77.66.206.225
[12.05.2009 - 22:09:47.140] •Seruy• (91.211.104.132): снял ограничение с пользователя Гена букин
[12.05.2009 - 22:09:48.78] •Seruy• (91.211.104.132): снял ограничение с пользователя ~~LADY ROCK~~
[12.05.2009 - 22:10:19.656] •Seruy• (91.211.104.132): изменил права для учетной записи •иницЫатива•
[12.05.2009 - 22:10:45.562] •Seruy• (91.211.104.132): изменил права для учетной записи •BeLIEvkA•
[12.05.2009 - 22:11:15.546] •Seruy• (91.211.104.132): изменил права для учетной записи •Сашуля•
[12.05.2009 - 22:22:12.718] •BeLIEvkA• (91.211.104.1): изменил пароль для своей учетной записи
[13.05.2009 - 0:32:50.312] •Flip• (77.37.145.129): изменил права для учетной записи •Undertaker•
[13.05.2009 - 0:47:08.265] •Flip• (77.37.145.129): ограничил пользователя Mc JoKeR
[13.05.2009 - 0:52:54.984] •Flip• (77.37.145.129): ограничил пользователя 217.19.211.102
[13.05.2009 - 0:53:02.109] •Flip• (77.37.145.129): изменил настройки авториазции
[13.05.2009 - 0:55:11.843] •Flip• (77.37.145.129): изменил настройки авториазции
[13.05.2009 - 8:22:37.334] •Seruy• (91.211.104.132): изменил настройки канала main
[13.05.2009 - 10:53:09.678] BYLASER (91.149.156.98): запросил регистрацию
[13.05.2009 - 11:55:08.241] Бел@XXX (193.27.243.98): запросил регистрацию
[13.05.2009 - 13:46:28.897] Карась (193.33.26.37): запросил регистрацию
[13.05.2009 - 13:46:47.225] oli (78.42.215.99): запросил регистрацию
[13.05.2009 - 14:31:32.6] BEST_DRAGON (95.73.13.75): запросил регистрацию
[13.05.2009 - 14:31:39.381] BEST_DRAGON (95.73.13.75): изменил пароль для своей учетной записи
[13.05.2009 - 14:43:54.194] MoNah (85.21.233.2): запросил регистрацию
[13.05.2009 - 15:03:36.756] Morsellus (92.126.67.195): запросил регистрацию
[13.05.2009 - 15:03:39.428] Morsellus (92.126.67.195): изменил пароль для своей учетной записи
[13.05.2009 - 15:09:27.147] BEST_DRAGON (95.73.13.75): создал канал best_dragon
[13.05.2009 - 15:21:07.991] GRESHNIK9994 (95.73.11.52): запросил регистрацию
[13.05.2009 - 15:21:27.178] GRESHNIK9994 (95.73.11.52): изменил пароль для своей учетной записи
[13.05.2009 - 15:27:06.647] •Flip• (77.37.145.129): удалил сообщение в канале main
[13.05.2009 - 15:35:51.741] 007 (77.51.136.239): запросил регистрацию
[13.05.2009 - 15:36:20.53] 007 (77.51.136.239): изменил пароль для своей учетной записи
[13.05.2009 - 16:42:02.241] MYXAMOP (91.122.159.183): запросил регистрацию
[13.05.2009 - 16:42:19.600] MYXAMOP (91.122.159.183): изменил пароль для своей учетной записи

Собсно всё. До его бана, в журналах Windows Отсутвтуют записи от каком либо входе либо взломе системы. Журнал ведётся справно. Что это могло быть?

[Indeferend]

Мне тоже кажется что ваш сервер или комп кого то из админов протроянен

[Kapacb]

юзай KIS вместо нортона и проблем данного рода не будет))

[Padonag]

в приведеном вами логе видно что злоумышленик действовал под двумя учетными записями: Seruy и •Seruy• при этом он хаходил под 2мя айпи адресами(1 вы указали) второй - 91.211.104.132, так как в логе неуказано как он получил права, то скорее всего имеет место проникновение на сервер через трояна или радмина(второе на много проще и не ловиться антивирями, а процесс маскируеться под что угодно), и добавление прав уже с сервера

[slavaprok12]

Мне тоже кажется что ваш сервер или комп кого то из админов протроянен

Тогда где запись о присвоении от "трояненного" аккаунта админа о присвоении прав этому Seruy. Так что (если вы привели все логи конечно) получается ломанута машина с серваком и права прописывались на нём через тотже радмин.