Ситуация
QW123
Новичок
5/30/2006, 6:20:29 PM
(Золотой МедвеД @ 11.05.2006 - время: 23:02) Это точно не свои, ибо в нашей конторе кроме меня и шефа нет никого (в офисе). Всем огромное спасибо за советы. Скорее всего сменим провайдера, если данная ситуация повтиорится снова, пока затишье, уже недели 3 наверно.
Уважаемый, не могли бы подробнее описать проблему (софт, оборудование etc). А то советов накидали... общих. Мне самому интересно стало, как в таких объемах траф можно тырить
Уважаемый, не могли бы подробнее описать проблему (софт, оборудование etc). А то советов накидали... общих. Мне самому интересно стало, как в таких объемах траф можно тырить
Золотой МедвеД
Профессионал
5/31/2006, 2:11:45 PM
(софт, оборудование etc)
я не специалист. что конкретно интересует. какое оборудование? Вы скажите, я выясню.
я не специалист. что конкретно интересует. какое оборудование? Вы скажите, я выясню.
QW123
Новичок
5/31/2006, 6:36:24 PM
(Золотой МедвеД @ 31.05.2006 - время: 10:11) (софт, оборудование etc)
я не специалист. что конкретно интересует. какое оборудование? Вы скажите, я выясню.
Ну, грубо говоря, каким макаром в тырнет вылезаете? Тройка компов подключена к выделенному серверу? Сервер через какую железяку в сеть лезет? Какая операционка на сервере стоит (линухи, фря, а может виндузы)? В таком роде. А то тут рассуждаем, а потом окажется модемный пул на старой четверке с 98 окошками (смайл)
я не специалист. что конкретно интересует. какое оборудование? Вы скажите, я выясню.
Ну, грубо говоря, каким макаром в тырнет вылезаете? Тройка компов подключена к выделенному серверу? Сервер через какую железяку в сеть лезет? Какая операционка на сервере стоит (линухи, фря, а может виндузы)? В таком роде. А то тут рассуждаем, а потом окажется модемный пул на старой четверке с 98 окошками (смайл)
Золотой МедвеД
Профессионал
6/2/2006, 2:44:22 PM
1. 3 компа - выделенка
2. Celeron 2.4
3. XP
4. "Procenter" провайдер
2. Celeron 2.4
3. XP
4. "Procenter" провайдер
QW123
Новичок
6/5/2006, 5:02:29 PM
(Золотой МедвеД @ 02.06.2006 - время: 10:44) 1. 3 компа - выделенка
2. Celeron 2.4
3. XP
4. "Procenter" провайдер
То есть есть комп с установленной WindowsXP (надеюсь, про), подключенный к выделенной линии. Этот комп выполняет роль сервера. К нему подключены три рабочих станции.
Еще нужно уточнить:
1. Кабель от провайдера воткнут прямо в сервер или в какой-то девайс, а уже от него в сервер?
2. В сервере две сетевых карты или одна? Если одна, то какой хаб/свич и т.д. используется?
2. Celeron 2.4
3. XP
4. "Procenter" провайдер
То есть есть комп с установленной WindowsXP (надеюсь, про), подключенный к выделенной линии. Этот комп выполняет роль сервера. К нему подключены три рабочих станции.
Еще нужно уточнить:
1. Кабель от провайдера воткнут прямо в сервер или в какой-то девайс, а уже от него в сервер?
2. В сервере две сетевых карты или одна? Если одна, то какой хаб/свич и т.д. используется?
DELETED
Акула пера
6/5/2006, 11:29:01 PM
Меняй провайдера и своего админа
Эм... а сколько получает админ у вас ? А то может и я сгожуся ^^
Сорр за офф топ =)
А самый оптимальный вариант - посадит за комп нормального человека, на сутки и пусть по следит за потоком трафика. А сходу сказать ни чего не возможно, т.к. тут понадовали советов, а действительность может оказаться совсем в другом - Вечером домой пришел человек, врубил кмоп, а он у него начинает флудить, и соответственно, в лудшем случае падает скорость ....
Эм... а сколько получает админ у вас ? А то может и я сгожуся ^^
Сорр за офф топ =)
А самый оптимальный вариант - посадит за комп нормального человека, на сутки и пусть по следит за потоком трафика. А сходу сказать ни чего не возможно, т.к. тут понадовали советов, а действительность может оказаться совсем в другом - Вечером домой пришел человек, врубил кмоп, а он у него начинает флудить, и соответственно, в лудшем случае падает скорость ....
QW123
Новичок
6/7/2006, 6:59:14 PM
(erm1k @ 05.06.2006 - время: 19:29) Меняй провайдера и своего админа
Эм... а сколько получает админ у вас ? А то может и я сгожуся ^^
Кстати, да.
Насколько я понял, админ в данном случае отсутствует как класс. И здесь в первую очередь я бы вызвал хоть студента какого с мозгами, проверить и настроить тот комп под ХР, что роль сервера выполняет. А то возможны самые интересные варианты. Ну, например, прокси-сервер из него чья-то добрая душа организовала :) И лучше будет, если тот студент на "сервере" вместо ХР линукс или фрюБСД развернет. Заодно и исключит вариант "своего" (внутри контоы) траффожора.
И по мозгам прову настучать тоже не мешает, ибо вполне возможно, его проблемы.
В общем, ждем уточнений
Эм... а сколько получает админ у вас ? А то может и я сгожуся ^^
Кстати, да.
Насколько я понял, админ в данном случае отсутствует как класс. И здесь в первую очередь я бы вызвал хоть студента какого с мозгами, проверить и настроить тот комп под ХР, что роль сервера выполняет. А то возможны самые интересные варианты. Ну, например, прокси-сервер из него чья-то добрая душа организовала :) И лучше будет, если тот студент на "сервере" вместо ХР линукс или фрюБСД развернет. Заодно и исключит вариант "своего" (внутри контоы) траффожора.
И по мозгам прову настучать тоже не мешает, ибо вполне возможно, его проблемы.
В общем, ждем уточнений
Dzz
Новичок
6/8/2006, 10:51:54 PM
Конечно что новое добавить сложно, просто сталкивался с таким , когда появились схожие проблемы, я конечно несколько раз звонил и тд... а, потом просто просто пошел в гости к провайдеру (Т.Е. в основном к админу и погворил с ним Так Скажем в высоких тонах и оПлЯ больше проблем не было )
Deonis
Любитель
8/14/2006, 6:24:54 PM
(GrAnd @ 26.04.2006 - время: 15:31) Прежде всего обращает на себя внимание тот факт, что после смены пароля траблы на какое-то время притухли. Значит, злоумышленник находится не в вашей конторе. Если бы он находился в ней, то ему все эти замены были-бы безразличны. Кроме того, раз трафик, засеченный провом и конторой разнятся, то однозначно это кто-то посторонний.
Схема применяемая провами для биллинга обычно основана на параметрах аутентификации и не привязывается к конкретным IP. Таким образом, если пароль украден, то под вашим именем могут войти и из соседнего подъезда и из другого квартала с равным успехом.
Вопрос только в том, каким образо крадется пароль. Тут возможны варианты:
1. Перебором.
2. Злоумышленник имеет доступ к БД прова. Например работает у него.
3. Злоумышленник каким-то образом получил доступ к паролю на прокси-сервере и украл его.
В первых двух случаях однозначно поможет "Управление Р" ФСБ.
В третьем случае надо разобраться со своими проблемами. Либо вам подсадили червячка, который ломает пароли и передает их на внешние адреса (был у меня такой случай - на 5 Гигов попали). Либо кто-то крысятничает из своих.
Поэтому нужно тщательно запереть все неиспользуемые порты по TCP и UDP на внешнем интерфейсе. Особенно это касается TCP-139 (NetBIOS) - любимая лазейка хакеров. Ну и провести некоторую работу среди своих. Только следует учесть, что сам этот человек может во время использования чужаком вашего логина спокойно сидеть в конторе, а юзать доступ будет совсем другой человек, которому пароль он подарил или продал.
Полностю согласен.
Добаветь могу только одно ставте файрвал на уровне железа...
Схема применяемая провами для биллинга обычно основана на параметрах аутентификации и не привязывается к конкретным IP. Таким образом, если пароль украден, то под вашим именем могут войти и из соседнего подъезда и из другого квартала с равным успехом.
Вопрос только в том, каким образо крадется пароль. Тут возможны варианты:
1. Перебором.
2. Злоумышленник имеет доступ к БД прова. Например работает у него.
3. Злоумышленник каким-то образом получил доступ к паролю на прокси-сервере и украл его.
В первых двух случаях однозначно поможет "Управление Р" ФСБ.
В третьем случае надо разобраться со своими проблемами. Либо вам подсадили червячка, который ломает пароли и передает их на внешние адреса (был у меня такой случай - на 5 Гигов попали). Либо кто-то крысятничает из своих.
Поэтому нужно тщательно запереть все неиспользуемые порты по TCP и UDP на внешнем интерфейсе. Особенно это касается TCP-139 (NetBIOS) - любимая лазейка хакеров. Ну и провести некоторую работу среди своих. Только следует учесть, что сам этот человек может во время использования чужаком вашего логина спокойно сидеть в конторе, а юзать доступ будет совсем другой человек, которому пароль он подарил или продал.
Полностю согласен.Добаветь могу только одно ставте файрвал на уровне железа...
-=Велла=-
Акула пера
8/14/2006, 6:31:01 PM
Deonis, срезай цитаты.
Похоже, что у автора уже либо все выпили и съели, либо все нормально. Так что закрываю.
Похоже, что у автора уже либо все выпили и съели, либо все нормально. Так что закрываю.