Форум vMind.ru

Первый пермский форум по виртуализации
Текущее время: 08 апр 2020, 16:18

Часовой пояс: UTC+05:00




Начать новую тему  Ответить на тему  [ 4 сообщения ] 
Автор Сообщение
 Заголовок сообщения: Как меня поломали :(
СообщениеДобавлено: 15 июн 2012, 22:11 
Не в сети

Зарегистрирован: 08 янв 2011, 23:33
Сообщения: 453
Благодарил (а): 10 раз.
Поблагодарили: 5 раз.
Подобрали через RDP пароль локального администратора и принялись дальше ломать подсети Киргизии (г. Бишкек).
После мини расследования оказалось, что пароль локального администратора был введен при установке 321 день назад, до ввода сервера в домен и на него политика паролей не распространилась.

Повезло, что "школьники" резвились - ни маскировались, ни закладок не оставили (я данные слил и виртуальную машинку с сервером заново из шаблона раскатал, НО локального админа запретил)

Давно знал, что локальный админ в домене это зло, т.к. при переборе его учетка не блокируется :(, но вот на практике в первый раз столкнулся - месяц назад сделали себе постоянный IP адрес, до этого на dyndns.org сидели.


Вернуться к началу
 Заголовок сообщения: Re: Как меня поломали :(
СообщениеДобавлено: 03 июл 2012, 13:50 
Не в сети
Модератор

Зарегистрирован: 11 янв 2011, 12:54
Сообщения: 350
Благодарил (а): 2 раз.
Поблагодарили: 35 раз.
Откуда: Пермь
Наверное, пароль был единичка


Вернуться к началу
 Заголовок сообщения: Re: Как меня поломали :(
СообщениеДобавлено: 04 июл 2012, 09:49 
Не в сети

Зарегистрирован: 06 янв 2011, 00:27
Сообщения: 471
Благодарил (а): 14 раз.
Поблагодарили: 18 раз.
Как отловили хакеров?


Вернуться к началу
 Заголовок сообщения: Re: Как меня поломали :(
СообщениеДобавлено: 05 июл 2012, 10:47 
Не в сети

Зарегистрирован: 08 янв 2011, 23:33
Сообщения: 453
Благодарил (а): 10 раз.
Поблагодарили: 5 раз.
Андрей Вахитов писал(а):
Как отловили хакеров?

очень смешно (или грустно)

1) стал тормозить интернет (канал в 30 мегабит, сидят 30 человек)
2) залез на роутер и посмотрел кто что качает - оказалось рядовой сервер, где даже пользователей быть не должно
3) запретил публикацию сервера - трафик не уменьшился
4) запретил выход серверу в интернет - трафик упал до "0"
5) залогинился на сервер в активных пользователях ДВА администратора и windows - озадачился, отключил сеансы и выключил учетки
6) посмотрел на рабочие столы - там стоит софт для сетевых атак на RDP - проверил вывод: 6 серверов с паролями 123, 12345 и admin крутятся на 2003 или xp
7) посмотрел на счетчик дропов на 3389 порте - рос на глазах => изменил drop на tarpit все успокоилось.


Вернуться к началу
Показать сообщения за:  Поле сортировки  
Начать новую тему  Ответить на тему  [ 4 сообщения ] 

Часовой пояс: UTC+05:00


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 3 гостя


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Limited
Русская поддержка phpBB