Взлом сервера чата

[hornet_ru]

юзай KIS вместо нортона и проблем данного рода не будет))

Ошибочное утверждение. Проблемы "данного рода" могут возникнтуть что бы Вы там не юзали.

Всё верно, на сервере СП-2 не более. Злоумышленник забанен Брадмауером, на уровне приложения (чат), пока тишина.

Версию о взломе системы проверю вечером, это мысль, но опять всё покажут логи

SP2 для сервера, к которому есть доступ из Интернет - это, конечно, жестко... Но ты говоришь, что на серваке установлен Symantec Endpoint Protection (SEP). Дело в том, что у SEP имеется специальный компонент "Intrusion Prevention", который блокирует эксплоит-пакеты и поидее должен защитить даже непропатченную (как у тебя) систему. Однако здесь важную роль играет человеческий фактор (правильно ли настроен SEP, регулярно ли обновляются сигнатуры и т.д.)
Логи, увы, покажут не всё... Это полный лог? Без вырезок? Кстати, лучше не вставлять кусок лога в сообщение, а прикреплять сам лог-файл, причем полный. Версию "взлома" самого чата пока оставим.. Я так понял, что •Seruy• - легальная админская учетка, а Seruy - хулиган. В куске лога, который имеется, действительно, не видно кто дал юзеру Seruy админские права, и если этих записей нет и в оставшейся части логов, то видимо, злоумышленник воспользовался интерфейсом сервера чата, а следовательно, как я и говорил, имеет доступ к системе.

[Maxim Mirgorodsky]

Я так понимаю, учетные записи Seruy и •Seruy• изначально имели все права (так как регистрация "Seruy" в логе не охвачена). Причем злоумышленник действовал только от имени Seruy.

Вероятнее всего, он каким-либо образом получил пароль к данной учетной записи и просто им воспользовался.

Лог авторизаций мог бы дать еще более точную информацию (по умолчанию он отключен).

[Maine]

юзай KIS вместо нортона и проблем данного рода не будет))

Я так понял, что •Seruy• - легальная админская учетка, а Seruy - хулиган. В куске лога, который имеется, действительно, не видно кто дал юзеру Seruy админские права, и если этих записей нет и в оставшейся части логов, то видимо, злоумышленник воспользовался интерфейсом сервера чата, а следовательно, как я и говорил, имеет доступ к системе.

Нет, обе записи админа, и этот админ заходит с 91.211.104.132. Но вот как он украл пароль, это вопрос. Да и он щас забанен на файрволле, на уровне приложения (чат) и если был троян или радмин или удалённое управление windows то никаких проявлений нет, он в бане и не разбанивает себя, и в чате забанен и прав у него нет. Уже вторые сутки всё нормально, хотя если бы он сломал именно систему, он бы давно себя разбанил и опять сделал админом. Всеравно я не понял что произошло, админы все в шоке.

[hornet_ru]

Нет, обе записи админа, и этот админ заходит с 91.211.104.132. Но вот как он украл пароль, это вопрос. Да и он щас забанен на файрволле, на уровне приложения (чат) и если был троян или радмин или удалённое управление windows то никаких проявлений нет, он в бане и не разбанивает себя, и в чате забанен и прав у него нет. Уже вторые сутки всё нормально, хотя если бы он сломал именно систему, он бы давно себя разбанил и опять сделал админом. Всеравно я не понял что произошло, админы все в шоке.

Я с самого начала немного невнимательно прочел твой первый пост и решил, что происходили рецидивы (повторы) взлома даже после смены модераторами своих паролей. А как оказалось, дальше угроз дело так и не дошло (вредитель был забанен средствами SEP). В таком случае, Maxim Mirgorodsky, может и прав - велика вероятность, что злоумышленник мог просто каким-то образом узнать пароль модератора. Можете проверить этот вариант - удостоверьтесь, что все модераторы сменили свои пароли, разбаньте хулигана в SEP и ждите повторных инцидентов.
Если будет рецидив - выкладывайте сюда лог эвентов и лог авторизаций.

[Maine]

Я с самого начала немного невнимательно прочел твой первый пост и решил, что происходили рецидивы (повторы) взлома даже после смены модераторами своих паролей. А как оказалось, дальше угроз дело так и не дошло (вредитель был забанен средствами SEP). В таком случае, Maxim Mirgorodsky, может и прав - велика вероятность, что злоумышленник мог просто каким-то образом узнать пароль модератора. Можете проверить этот вариант - удостоверьтесь, что все модераторы сменили свои пароли, разбаньте хулигана в SEP и ждите повторных инцидентов.
Если будет рецидив - выкладывайте сюда лог эвентов и лог авторизаций.

Так и сделаем. Тем более в будущем планируем покупку чата, и можно будет обращаться в тех поддержку с подобными вопросами.

[Sir-J]

А причем тут антивирус
-у нас тоже токого рода была проблема только точно немогу сказать я так канкретно незанимаюсь этим чатом , постольку поскольку восновном DC серваком , просто на одном сервере много чего стоит
-да ладно к делу
хорошо что у нас непокупная версия..ктото снял админку со всех ,стала повторятся проблема версии 3,2 админские права
значит что 4 я версия неактив
уже помоемому очень много копий распродано .А это ни есть хорошо
-вот я еслибы я был злым и ужасным ябы занялся такого рода проблемой ..начал бы ломать сервак
следовательно стоит задуматся о v5.01 или выше
соотвецтвенно нужен и клиент - хотя можно и незаморачиватся подогнать 4.21 вроди бы актуальная штука на мой взгляд.
да я думаю следует и форум прикрепить я уже тут поднимал токого рода вопрос ?
тогда как если будет форум то его станет намного проще взломать залез через него например www.домин/admin и подобрать пароль
_думайте админы_

[Maxim Mirgorodsky]

Изменение прав возможно лишь пользователем с установленным правом "управление правами", либо с помощью интерфейса серверной стороны.

[Sir-J]

[NoViK]

91.211.104.0 - 91.211.107.255 address: Balshikha, Moscow Region, netname: Balnet Ltd.

217.19.208.0 - 217.19.212.255 address: Junosti 1, Tiraspol, Moldova, 3300. CJSC Interdnestrcom, netname: IDKNET-PA-ISP


Бань в фаерволе диапозон 217.19.208.0 - 217.19.212.255

[Sir-J]

-тоесть бань непонел....поясни
что там появился в очередной раз хакер - малолетка

[Thet]

ass (217.19.211.102)
•°•~~   _В_и_Ф_е_н_к_@  ~~•°• (217.19.211.102)
Macik (217.19.211.102)
iLeech (217.19.211.102)
Jemes (217.19.211.102)
Seruy (217.19.211.102)

Это с Ип 217.19.211.102
________________________________
•Seruy• (91.211.104.132)
Seruy (91.211.104.132)

Это с ип 91.211.104.132

Возможно выход был с 2 компютеров надо ещё и id узнать!

[Genikolog]

Всё что создавалось руками людей так же и ломаеться. Атаки происходили и на наш небольшой сервер, и думаю не стоит отрицать возможный взлом.

[валера]

можешь показать как взломать чат.у нас стоит версия 4.02.буду тебе признателен за помошь.

[•NormaBot•]

можешь показать как взломать чат.у нас стоит версия 4.02.буду тебе признателен за помошь.

Ты думаешь если кто знает тот скажет?

[-=HooLigan=-]

Э така поговорка шо создано человеком то ломаэця человеком
і серв конфорта ломаєця тока нада мозги на плечах мать і все