Страница 2 из 3
Re: Взлом сервера чата
Добавлено: 04:40, 14.05.2009
hornet_ru
Kapacb писал(а):юзай KIS вместо нортона и проблем данного рода не будет))
Ошибочное утверждение. Проблемы "данного рода" могут возникнтуть что бы Вы там не юзали.
Maine писал(а):Всё верно, на сервере СП-2 не более. Злоумышленник забанен Брадмауером, на уровне приложения (чат), пока тишина.
Версию о взломе системы проверю вечером, это мысль, но опять всё покажут логи
SP2 для сервера, к которому есть доступ из Интернет - это, конечно, жестко... Но ты говоришь, что на серваке установлен Symantec Endpoint Protection (SEP). Дело в том, что у SEP имеется специальный компонент "Intrusion Prevention", который блокирует эксплоит-пакеты и поидее должен защитить даже непропатченную (как у тебя) систему. Однако здесь важную роль играет человеческий фактор (правильно ли настроен SEP, регулярно ли обновляются сигнатуры и т.д.)
Логи, увы, покажут не всё... Это полный лог? Без вырезок? Кстати, лучше не вставлять кусок лога в сообщение, а прикреплять сам лог-файл, причем полный. Версию "взлома" самого чата пока оставим.. Я так понял, что •Seruy• - легальная админская учетка, а Seruy - хулиган. В куске лога, который имеется, действительно, не видно кто дал юзеру Seruy админские права, и если этих записей нет и в оставшейся части логов, то видимо, злоумышленник воспользовался интерфейсом сервера чата, а следовательно, как я и говорил, имеет доступ к системе.
Re: Взлом сервера чата
Добавлено: 06:36, 14.05.2009
Maxim Mirgorodsky
Я так понимаю, учетные записи Seruy и •Seruy• изначально имели все права (так как регистрация "Seruy" в логе не охвачена). Причем злоумышленник действовал только от имени Seruy.
Вероятнее всего, он каким-либо образом получил пароль к данной учетной записи и просто им воспользовался.
Лог авторизаций мог бы дать еще более точную информацию (по умолчанию он отключен).
Re: Взлом сервера чата
Добавлено: 08:54, 14.05.2009
Maine
hornet_ru писал(а):Kapacb писал(а):юзай KIS вместо нортона и проблем данного рода не будет))
Я так понял, что •Seruy• - легальная админская учетка, а Seruy - хулиган. В куске лога, который имеется, действительно, не видно кто дал юзеру Seruy админские права, и если этих записей нет и в оставшейся части логов, то видимо, злоумышленник воспользовался интерфейсом сервера чата, а следовательно, как я и говорил, имеет доступ к системе.
Нет, обе записи админа, и этот админ заходит с 91.211.104.132. Но вот как он украл пароль, это вопрос. Да и он щас забанен на файрволле, на уровне приложения (чат) и если был троян или радмин или удалённое управление windows то никаких проявлений нет, он в бане и не разбанивает себя, и в чате забанен и прав у него нет. Уже вторые сутки всё нормально, хотя если бы он сломал именно систему, он бы давно себя разбанил и опять сделал админом. Всеравно я не понял что произошло, админы все в шоке.
Re: Взлом сервера чата
Добавлено: 11:36, 14.05.2009
hornet_ru
Maine писал(а):Нет, обе записи админа, и этот админ заходит с 91.211.104.132. Но вот как он украл пароль, это вопрос. Да и он щас забанен на файрволле, на уровне приложения (чат) и если был троян или радмин или удалённое управление windows то никаких проявлений нет, он в бане и не разбанивает себя, и в чате забанен и прав у него нет. Уже вторые сутки всё нормально, хотя если бы он сломал именно систему, он бы давно себя разбанил и опять сделал админом. Всеравно я не понял что произошло, админы все в шоке.
Я с самого начала немного невнимательно прочел твой первый пост и решил, что происходили рецидивы (повторы) взлома даже после смены модераторами своих паролей. А как оказалось, дальше угроз дело так и не дошло (вредитель был забанен средствами SEP). В таком случае, Maxim Mirgorodsky, может и прав - велика вероятность, что злоумышленник мог просто каким-то образом узнать пароль модератора. Можете проверить этот вариант - удостоверьтесь, что все модераторы сменили свои пароли, разбаньте хулигана в SEP и ждите повторных инцидентов.
Если будет рецидив - выкладывайте сюда лог эвентов и лог авторизаций.
Re: Взлом сервера чата
Добавлено: 11:55, 14.05.2009
Maine
hornet_ru писал(а):Я с самого начала немного невнимательно прочел твой первый пост и решил, что происходили рецидивы (повторы) взлома даже после смены модераторами своих паролей. А как оказалось, дальше угроз дело так и не дошло (вредитель был забанен средствами SEP). В таком случае, Maxim Mirgorodsky, может и прав - велика вероятность, что злоумышленник мог просто каким-то образом узнать пароль модератора. Можете проверить этот вариант - удостоверьтесь, что все модераторы сменили свои пароли, разбаньте хулигана в SEP и ждите повторных инцидентов.
Если будет рецидив - выкладывайте сюда лог эвентов и лог авторизаций.
Так и сделаем. Тем более в будущем планируем покупку чата, и можно будет обращаться в тех поддержку с подобными вопросами.
Re: Взлом сервера чата
Добавлено: 19:29, 18.05.2009
Sir-J
А причем тут антивирус
-у нас тоже токого рода была проблема только точно немогу сказать я так канкретно незанимаюсь этим чатом , постольку поскольку восновном DC серваком , просто на одном сервере много чего стоит
-да ладно к делу
хорошо что у нас непокупная версия..ктото снял админку со всех ,стала повторятся проблема версии 3,2 админские права
значит что 4 я версия неактив
уже помоемому очень много копий распродано .А это ни есть хорошо
-вот я еслибы я был злым и ужасным ябы занялся такого рода проблемой ..начал бы ломать сервак
следовательно стоит задуматся о v5.01 или выше
соотвецтвенно нужен и клиент - хотя можно и незаморачиватся подогнать 4.21 вроди бы актуальная штука на мой взгляд.
да я думаю следует и форум прикрепить я уже тут поднимал токого рода вопрос ?
тогда как если будет форум то его станет намного проще взломать залез через него например
www.домин/admin и подобрать пароль
_думайте админы_
Re: Взлом сервера чата
Добавлено: 19:33, 18.05.2009
Maxim Mirgorodsky
Maxim Mirgorodsky писал(а):Изменение прав возможно лишь пользователем с установленным правом "управление правами", либо с помощью интерфейса серверной стороны.
Re: Взлом сервера чата
Добавлено: 16:57, 21.05.2009
Sir-J
Re: Взлом сервера чата
Добавлено: 18:59, 21.05.2009
NoViK
91.211.104.0 - 91.211.107.255 address: Balshikha, Moscow Region, netname: Balnet Ltd.
217.19.208.0 - 217.19.212.255 address: Junosti 1, Tiraspol, Moldova, 3300. CJSC Interdnestrcom, netname: IDKNET-PA-ISP
Бань в фаерволе диапозон 217.19.208.0 - 217.19.212.255
Re: Взлом сервера чата
Добавлено: 16:56, 24.05.2009
Sir-J
-тоесть бань непонел....поясни
что там появился в очередной раз хакер - малолетка
Re: Взлом сервера чата
Добавлено: 21:22, 29.10.2009
Thet
ass (217.19.211.102)
•°•~~ _В_и_Ф_е_н_к_@ ~~•°• (217.19.211.102)
Macik (217.19.211.102)
iLeech (217.19.211.102)
Jemes (217.19.211.102)
Seruy (217.19.211.102)
Это с Ип 217.19.211.102
________________________________
•Seruy• (91.211.104.132)
Seruy (91.211.104.132)
Это с ип 91.211.104.132
Возможно выход был с 2 компютеров надо ещё и id узнать!
Re: Взлом сервера чата
Добавлено: 00:22, 31.10.2009
Genikolog
Всё что создавалось руками людей так же и ломаеться. Атаки происходили и на наш небольшой сервер, и думаю не стоит отрицать возможный взлом.
Re: Взлом сервера чата
Добавлено: 19:42, 27.11.2009
валера
можешь показать как взломать чат.у нас стоит версия 4.02.буду тебе признателен за помошь.
Re: Взлом сервера чата
Добавлено: 19:59, 27.11.2009
•NormaBot•
валера писал(а):можешь показать как взломать чат.у нас стоит версия 4.02.буду тебе признателен за помошь.
Ты думаешь если кто знает тот скажет?
Re: Взлом сервера чата
Добавлено: 16:34, 04.12.2009
-=HooLigan=-
Э така поговорка шо создано человеком то ломаэця человеком
і серв конфорта ломаєця тока нада мозги на плечах мать і все
