Форум 3DNews
Вернуться   Форум 3DNews > Интернет > Информационная безопасность, защита от вирусов

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 14.04.2016, 13:17   [включить плавающее окно]   #1
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Какой дыркой воспользовались злоумышленники

Доброе время суток!
В этот вторник нагрянула ко мне полиция ранним утром с обвинением в распространении детского порно через программы Sharezza и какие-то ещё ни разу не популярные в нашей стране. Самих программ не нашли, видео тоже, иначе я бы сейчас не писал здесь -))
По их информации мой IP (а также ещё куча других адресов, в основном МГТС - потому как самый популярный и/или самый дырявый) засветился в раздаче этих видео.
Они предположили, что кто-то мог подключиться к вафле, тем более что на обоих железках работали точки доступа (три канала - на ONT провайдера самая медленная вафля, но в режиме совместимости с динозаврами B/G, а на моём маршрутизаторе в диапазоне 2.4 ГГц только N, настроенная на максимальную производительность и без поддержки старых N устройств и в диапазоне 5 ГГц AC+N также для максимальной производительности, чтоб тариф 500 Мб/с по воздуху протянуть).
Пароли были не самыми сложными, но и не простыми ни разу, свой роутер я всегда могу контролировать, а вот ONT МГТС нет, потому как если тупо забить в браузер мой прямой IP, то получим доступ к устройству через тырнэт, а пароли к ним легко гуглятся. Логи на нём по умолчанию отключены провайдером, сетевой экран также в минимальном режиме (сейчас всё это исправил, хоть вмешательство в оборудование и запрещено договором с провайдером)
Причём пароль я к ONT менял недавно, но учитывая большую инерцию нашей системы власти, то подключение могло произойти существенно раньше, а следствие как обычно упёрлось в бюрократию с получением решения суда на обыск и исследование техники.


Подскажите, как можно проверить свой маршрутизатор ASUS RT-AC68U на заражение и до кучи ONT провайдера ZTE F660 v3.0? При подключении к домашнему тырнэту через мобилы просто заваливает рекламой, о чём писал провайдеру, они перепрошивали удалённо ONT, а я менял пароль к его админке, но реклама продолжает переть - везде поставил рекламорезки, иначе беда - у меня в стиме даже реклама, на рабочем столе мобил, + постоянные редиректы во всех браузерах на всех ПК и мобилах (были до установки рекламорезки Adguard - кстати рекомендую, хоть и платное решение, но всякие бесплатные ADBlock и рядом не стоят, да ещё детектятся сайтами). При подключении к другому провайдеру рекламы такой нет.

Также остаётся вариант, что воспользовались одним из устройств внутри домашней сети - 2 ПК, 2 ноута, 4 мобилы, 1 смартТВ.
Все были отключены от сети и сейчас проверяю их по очереди установкой разных антивирей (360 Total Security, AVP Tool, CureIT + на ПК и буках стояли Emsisoft Internet Security) и полным сканом в параноидальном режиме, на 1 ноуте нашёл заражённый Firefox, почему-то добавленный в исключения антивиря 0_о пока больше ничего интересного не нашлось

Никакой доп. технической инфы у полиции не было, чтоб хоть как-то идентифицировать машины внутри своей сети - только мой прямой IP.

Сейчас перенастроил роутер и ONT, включил логирование на ONT, включил на нём же сетевой экран и сменил ещё раз пароль на сложный, но удалённое управление на нём никуда не делось конечно же, отключил на нём вафлю, запретил пинг с интернета и отключил услугу прямого IP, также выключил uPNP.
На домашнем роутере также сменил пароли на сложные, сменил SSID на другие и отключил вещание SSID (минимальная защита от лоха), осталось собрать все домашние устройства и вписать в фильтр по МАС, также отключил uPNP, хоть это и ударит по моим торрентам на закрытых трекерах (прощайте Redump и TOSEC ), но и пофигу, а то в следующий раз вместо вежливого, но настойчивого раннего визита, мне уже ОМОН дверь вынесет ночью -))

Сейчас ещё подам заявку на замену оборудования провайдера, пусть ставят другой ONT, к которому нет в открытом доступе логинов и паролей, но удалённое управление в них всё равно будет и это всё равно дыра - хоть провайдера меняй, но достойной альтернативы пока нет, никто выше 100 Мб/с не предлагает, а я уже не хочу меньше 500. Скорее бы к нам в район пришёл 2КОМ - у него гигабитный тариф есть! Правда не знаю, как там с безопасностью.

+ вспомнил ещё, что для доступа к заблокированным сайтам использовал прокси от Антизапрета - использовав сценарий автоматической настройки http://antizapret.prostovpn.org/proxy.pac - не может данная прокси иметь "обратный ход" использовав мою машину в качестве прокси для других?

Что ещё можно сделать, кроме бегства в глухую тайгу, где жить в землянке, питаться желудями и разводить медведей на ферме?
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka

Последний раз редактировалось Полковник Исаев; 14.04.2016 в 13:22.
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 14.04.2016, 14:27   [включить плавающее окно]   #2
XaXoL
Мужской Модератор
 
Аватар для XaXoL
 
Регистрация: 17.03.2004
Адрес: K-PAX
Веселишься )
XaXoL вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 14.04.2016, 14:46   [включить плавающее окно]   #3
ВОТ
Мужской Умудрённый
 
Аватар для ВОТ
 
Регистрация: 13.03.2014
Адрес: Москва
Все изложено подробно и давно

https://forum.antichat.ru/threads/376051/ Форум АНТИЧАТ > Безопасность и Уязвимости > Анонимность > Как подключится по чужому ip
ВОТ вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 14.04.2016, 15:55   [включить плавающее окно]   #4
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
XaXoL
Ага, очень весело было.

ВОТ
Это не новость, да и вряд ли применимо в моём случае. В МГТС нет локалки как таковой. Из удалёнок стоит только Team Viewer 11 со своей учёткой, в которой только мои машины. Но был прямой IP и вкл. uPNP на ONT и роутере, которые сейчас убраны.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 14.04.2016, 16:38   [включить плавающее окно]   #5
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
В качестве сказки-гипотезы: чей-то бот насканил у тебя уязвимость, через нее этот кто-то тебе поставил прокси(как альтернатива - ты пользуешься каким-то софтом с уже встроенным прокси). Выставил на продажу. Любители детского порно купили купили эту проксю и успешно тобой попользовались.
Понять что именно произошло = смотеть логи. Но логов нет. Тогда попробуй сам себя потестировать на проникновение извне.
__________________
Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 14.04.2016, 21:01   [включить плавающее окно]   #6
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
garniv
Как-то найти можно? Хотя-бы следы?
Может я вообще напрасно насилую компы и дырка была в ONT провайдера или моем роутере, теоретически можно и мобилу для этого заюзать, но это уже сомнительно
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 15.04.2016, 21:48   [включить плавающее окно]   #7
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Какая-то ерунда выходит с МАС-фильтром - я вношу все устройства в список на роутере и параллельно ONT провайдера, т.к. к нему можно отдельно подключиться, но тогда старые ноутбуки (типа ASUS K53S и недобук ASUS 1225с), а также смартТВ перестают работать в сети - на буках подключение циклично перезапускается (если указать IP вручную, то просто нет сети), а телек просто наглухо игнорирует подключение. Все современные буки, компы, телефоны нормально работают.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 17.04.2016, 21:03   [включить плавающее окно]   #8
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Заменил наконец провйдер свой ONT на другую ревизию той же модели (ZTE F660 v2.3 и на нём даже сетевой экран работает, в отличии от предыдущего) - рекламу и вирусню сразу отрезало, значит устройство (ZTE F660 v3.0) всё-таки было заражено, что так долго не хотело признать МГТС. Но с МАС-фильтром теже проблемы - не работают относительно старые устройства.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka

Последний раз редактировалось Полковник Исаев; 17.04.2016 в 21:10.
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.04.2016, 14:41   [включить плавающее окно]   #9
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
После того, как удалил с двух основных компов удалёнку TeamViewer (а вторая машина работала в режиме 24/7/365 с включенной удалёнкой), на мыло стали регулярно приходить письма с просьбой добавить в контакт TeamViewer разных пользователей, что заставило задуматься - а не этой ли удалёнкой и воспользовался некто для своих целей? Ведь пока не удалил - письма не приходили.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.04.2016, 14:49   [включить плавающее окно]   #10
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Полковник Исаев
https://www.teamviewer.com/en/help/5...ewer-log-files
__________________
Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.04.2016, 14:55   [включить плавающее окно]   #11
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
garniv
Увы, там пусто после удаления всех удалённых машин, да и логи ведутся только в платной версии: https://login.teamviewer.com/nav/home/sessions
Блин, ссылка работает только для владельцев учёток на их сайте, там следующий текст:

Продолжать отслеживать все
Быстрый просмотр всей деятельности команды поддержки TeamViewer Management Console автоматически регистрирует данные соединений в Windows, Mac, Linux, iOS или Android. В сочетании с индивидуальными комментариями эта система документирования идеально подходит для выставления счетов и создания отчётов.

Начните сейчас!
Перед управлением всеми пользователями TeamViewer создайте ниже профиль компании. Если у вас ещё нет лицензии TeamViewer – это не проблема! Вы можете бесплатно поработать с нами в течение ограниченного времени без каких бы то ни было обязательств.
Если вы ещё не имеете лицензии, то запускается коммерческая пробная версия всех функций TeamViewer Management.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka

Последний раз редактировалось Полковник Исаев; 24.04.2016 в 14:57.
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.04.2016, 16:05   [включить плавающее окно]   #12
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
да и логи ведутся только в платной версии:
ну незнаю, у меня бесплатная лицензия и все пишется...
(файлы логов лежат в Program Files (x86)\TeamViewer - попробуй пройтись Recuva)
__________________
Хочешь помочь новичку — делай вместе с ним. Хочешь помочь старику — делай вместо него. Хочешь помочь мастеру — отойди и не мешай. А хочешь помочь Таргитаю — сам Таргитай.

Последний раз редактировалось garniv; 24.04.2016 в 16:08.
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 24.04.2016, 23:38   [включить плавающее окно]   #13
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
garniv
Да, логи нашёл, но они обрезаны 3х дневной давностью, восстановить невозможно - система на SSD
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.04.2016, 07:14   [включить плавающее окно]   #14
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
что заставило задуматься - а не этой ли удалёнкой и воспользовался некто
Меня лично факт использования тобой TeamViewer в круглосуточном режиме заставил задуматься насчёт твоей адекватности...
Всем клиентам строго-настрого запрещаю его устанавливать, требую чтобы выбирали "только запустить".
__________________
С уважением,
Олег Р. Смирнов
Smirnoff на форуме  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.04.2016, 07:16   [включить плавающее окно]   #15
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Smirnoff
Так нужен частый доступ с мобилы на комп, подтверждать же с той стороны некому, вот и была в автозапуске.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.04.2016, 07:22   [включить плавающее окно]   #16
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
нужен частый доступ с мобилы на комп, подтверждать же с той стороны некому
Надо было поднять VPN-сервер, вот и обошлось бы без "подтверждений с той стороны".
__________________
С уважением,
Олег Р. Смирнов
Smirnoff на форуме  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.04.2016, 21:55   [включить плавающее окно]   #17
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Smirnoff
А дальше? По VPN цеплять MS RDP? А с мобилы зацепится? Просто выбор удалёнок на мобилу совсем невелик, из реально рабочих есть TeamViewer, удалённый стол Chrome и MS RDP - последняя очень непроста в использовании, намудрили там для мобил.
Надо снова выделенный IP подключать или можно без него обойтись и протянуть канал через ONT <-> роутер?
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.04.2016, 06:44   [включить плавающее окно]   #18
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
По VPN цеплять MS RDP?
Да.
А с мобилы зацепится?
По PPTP - проще простого.
По крайней мере, я легко цеплял и зелёных человечков, и планшеты из йаблочных огрызков...
Надо снова выделенный IP подключать
Самое разумное; да и не должен белый IP сильно дорого стоить.
__________________
С уважением,
Олег Р. Смирнов
Smirnoff на форуме  
Конфигурация ПК
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 08:16. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey