security.evtx > кто вошел/вышел

Персональный раздел для Krec.

security.evtx > кто вошел/вышел

Сообщение Krec » 24 окт 2011, 19:20

Ну вот и первое НЕофициальное и не профессиональное арсследование. Уже на реальных вещах. у друга в офисе стоял терминальный сервер, я лично 2 года назад этот сервер поставил, но так как после моего ухода никто не обслуживал сервер, то наступил черный день :) почему в России многие бизнесмены думают, что для сервера ненадо антивирус ?
самый интересный это то, что там еще и стоит ISA сервер.
Суть взлома в том, что то ли брутили какой то терминальный акаунт, то ли каком то обарзом проникли в сеть и поставили всякие "свои" программы, стандатный набор: VNC, Cain(oxid.it) и 2 левых акаунтов в терминале.

теперь я хочу выяснть с какого IP адреса зашли в сервер. дату взлома выяснил - 21.10, а вот в security.evtx немогу найти (точнее не знаю) запись о входе и выходе "хакера".
Как настроить фильтр что отображение "мне нужных" данных, или может есть прогамма для этого делать, который сам показывает IP адреса, с которых зашли?
Лог большой - около 120 мб.

P.S. забыл добавить - сервер Windows 2008
Последний раз редактировалось Krec 24 окт 2011, 20:38, всего редактировалось 1 раз.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: security.evtx > кто вошел/вышел

Сообщение friend » 24 окт 2011, 19:49

проверь на вирусы сервак. А то недавно я исследовал два компа на которых был установлен клиент-сбербанк, с которых были списаны деньги на левые фирмы. в результате оказалось вирус добавил терминальные акаунты. после чего все управлялось удаленно.
Аватара пользователя
friend
Член клуба
 
Сообщения: 192
Зарегистрирован: 09 фев 2010, 15:23
Откуда: Архангельск
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.

Re: security.evtx > кто вошел/вышел

Сообщение Krec » 24 окт 2011, 19:56

friend писал(а):проверь на вирусы сервак. А то недавно я исследовал два компа на которых был установлен клиент-сбербанк, с которых были списаны деньги на левые фирмы. в результате оказалось вирус добавил терминальные акаунты. после чего все управлялось удаленно.

да, так и есть. проверка была первым делом - 10 вредононых программ типа:
C:\Users\[ЛЕВЫЙ АКАУНТ_1]\Desktop\brute\work\tss-brute.exe модифицированный Win32/HackTool.TSGrinder.AA потенциально опасная программа Очистить
C:\Users\[ЛЕВЫЙ АКАУНТ_1]Desktop\DUBrute_2.0_RC3.rar модифицированный Win32/HackTool.BruteForce.AC потенциально опасная программа Очистить
C:\Users\[ЛЕВЫЙ АКАУНТ_2]\Documents\vnc.1.2.zip модифицированный Win32/NetTool.VNC.A потенциально опасная программа Очистить


сервер очищен, акаунты удалены, пароли сменены. только своеобарзныое расследование надо провести, чтоб понять всю картину. особо с каких IP адресов зашли на сервер.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: security.evtx > кто вошел/вышел

Сообщение friend » 24 окт 2011, 20:45

дк а сами вирусы то были в каталоге "system32"?
Аватара пользователя
friend
Член клуба
 
Сообщения: 192
Зарегистрирован: 09 фев 2010, 15:23
Откуда: Архангельск
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.

Re: security.evtx > кто вошел/вышел

Сообщение Krec » 24 окт 2011, 21:41

friend писал(а):дк а сами вирусы то были в каталоге "system32"?

да нет там вирусов. с вирусами разобратся ! надо теперь в файле security.evtx разобратся (System events)

Никому не прилось анализировать логи?
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: security.evtx > кто вошел/вышел

Сообщение Deniska » 25 окт 2011, 10:40

Может Event Log Explorer или evtx_view помогут.
Deniska
Член клуба
 
Сообщения: 41
Зарегистрирован: 05 окт 2010, 12:34
Откуда: Башкирская лаборатория судебной экспертизы
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: security.evtx > кто вошел/вышел

Сообщение Davydoff » 25 окт 2011, 12:00

пардоньте, но не совсем понимаю "фишку" в подходе "все пох...рить, а потом пытаться понять что было".
П.С. надо было б образ снять с системы после хацка и разбираться с "нетронутой" системой, тем более если я правильно понял работа ведется на том же накопителе где стоит хацкнуцый сервак.
Davydoff
Член клуба
 
Сообщения: 252
Зарегистрирован: 13 ноя 2008, 10:29
Откуда: Западная Сибирь
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: security.evtx > кто вошел/вышел

Сообщение Krec » 25 окт 2011, 13:21

Davydoff писал(а):пардоньте, но не совсем понимаю "фишку" в подходе "все пох...рить, а потом пытаться понять что было".
П.С. надо было б образ снять с системы после хацка и разбираться с "нетронутой" системой, тем более если я правильно понял работа ведется на том же накопителе где стоит хацкнуцый сервак.

Я это делаю удаленно. смысла нету делать все как положено, т.к. всеравно не собирается шеф подать заявку, . да и все восстановили. Просто интересно по логам узнать с какого адреса зашли.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: security.evtx > кто вошел/вышел

Сообщение kfv » 25 окт 2011, 18:21

Krec писал(а):Ну вот и первое НЕофициальное и не профессиональное арсследование. Уже на реальных вещах. у друга в офисе стоял терминальный сервер, я лично 2 года назад этот сервер поставил, но так как после моего ухода никто не обслуживал сервер, то наступил черный день :) почему в России многие бизнесмены думают, что для сервера ненадо антивирус ?
самый интересный это то, что там еще и стоит ISA сервер.
Суть взлома в том, что то ли брутили какой то терминальный акаунт, то ли каком то обарзом проникли в сеть и поставили всякие "свои" программы, стандатный набор: VNC, Cain(oxid.it) и 2 левых акаунтов в терминале.

теперь я хочу выяснть с какого IP адреса зашли в сервер. дату взлома выяснил - 21.10, а вот в security.evtx немогу найти (точнее не знаю) запись о входе и выходе "хакера".
Как настроить фильтр что отображение "мне нужных" данных, или может есть прогамма для этого делать, который сам показывает IP адреса, с которых зашли?
Лог большой - около 120 мб.

P.S. забыл добавить - сервер Windows 2008


Самый простой вариант - поднимите 2008 терминальный сервер - войдите терминалом и посмотрите -какие записи в логах. Мало ли как GPO там настроена, мож вообще данные события не отрабатываются в логах.

P.S Пускать терминальный сервер в интернет - заранее обреченная идея, если так оно надо - поднимите VPN+etoken для пользователей (один черт с паролями пользователей бороться бесполезно) и будет и вам счастье и проблем не будет
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: security.evtx > кто вошел/вышел

Сообщение friend » 25 окт 2011, 22:30

Krec писал(а):
friend писал(а):дк а сами вирусы то были в каталоге "system32"?

да нет там вирусов. с вирусами разобратся ! надо теперь в файле security.evtx разобратся (System events)

Никому не прилось анализировать логи?


вирусы то если б были, и если б они создавали терминальных юзверей, то их и надо было отлаживать, чтобы определить адрес куда инфа уходила и искать следы на сервере
Аватара пользователя
friend
Член клуба
 
Сообщения: 192
Зарегистрирован: 09 фев 2010, 15:23
Откуда: Архангельск
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.

Re: security.evtx > кто вошел/вышел

Сообщение friend » 25 окт 2011, 22:32

Krec писал(а):
Davydoff писал(а):пардоньте, но не совсем понимаю "фишку" в подходе "все пох...рить, а потом пытаться понять что было".
П.С. надо было б образ снять с системы после хацка и разбираться с "нетронутой" системой, тем более если я правильно понял работа ведется на том же накопителе где стоит хацкнуцый сервак.

Я это делаю удаленно. смысла нету делать все как положено, т.к. всеравно не собирается шеф подать заявку, . да и все восстановили. Просто интересно по логам узнать с какого адреса зашли.


тогда вообще смысла ни в чем нет!!!

потому что ты образ как ранее сказанно не сделал скомпрометированной системы как для иследования для себя чтоб чему то научится так и для дальнейшего расследования!!!!!!!!!!
Аватара пользователя
friend
Член клуба
 
Сообщения: 192
Зарегистрирован: 09 фев 2010, 15:23
Откуда: Архангельск
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.

Re: security.evtx > кто вошел/вышел

Сообщение friend » 25 окт 2011, 22:34

за ранее извеняюсь, что запятые не проставил, слова пропустил и предложения не согласовал :wink:
Аватара пользователя
friend
Член клуба
 
Сообщения: 192
Зарегистрирован: 09 фев 2010, 15:23
Откуда: Архангельск
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.

Re: security.evtx > кто вошел/вышел

Сообщение Davydoff » 26 окт 2011, 05:49

Krec писал(а):
Davydoff писал(а):пардоньте, но не совсем понимаю "фишку" в подходе "все пох...рить, а потом пытаться понять что было".
П.С. надо было б образ снять с системы после хацка и разбираться с "нетронутой" системой, тем более если я правильно понял работа ведется на том же накопителе где стоит хацкнуцый сервак.

Я это делаю удаленно. смысла нету делать все как положено, т.к. всеравно не собирается шеф подать заявку, . да и все восстановили. Просто интересно по логам узнать с какого адреса зашли.

дело не в "заявке", а в том что вы залезли в систему, внесли в нее изменения, на десять-ацать раз перезаписали по области где лежали удаленные файлы...короче вообще не понимаю зачем ковыряться теперь, все равно истинной картины уже не будет,а только домыслы, версии.

П.С.кстати о "птичках", всегда есть смысл делать "все как положено", потому что никто не застрахован в том, что это первое и последнее покушение. Помните что это может быть только началом и собранные корректно материалы впоследствии могут очень хорошо помочь.

П.С.С. сегодня шеф не хочет, а завтра стребует собрать и выдать. Чего ж тогда делать будете?! :)
Davydoff
Член клуба
 
Сообщения: 252
Зарегистрирован: 13 ноя 2008, 10:29
Откуда: Западная Сибирь
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: security.evtx > кто вошел/вышел

Сообщение Krec » 26 окт 2011, 15:10

мне кажется яне там написал вопрос... надо было в какой небудь форум по ИБ.
А то я про одно, а вы про другое..
Мне и шефу ненадо никакие отчеты и т.п. бумажной волокиды. Есть лог просто, надо смотреть кто в указанном дате зашел в терминал. это совсем не сложное дело, 3 года анзад я даже сам тренировался для сдачи экзамена в Microsoft, а щас не помню.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: security.evtx > кто вошел/вышел

Сообщение Davydoff » 27 окт 2011, 06:17

Krec писал(а):мне кажется яне там написал вопрос... надо было в какой небудь форум по ИБ.
А то я про одно, а вы про другое..
Мне и шефу ненадо никакие отчеты и т.п. бумажной волокиды. Есть лог просто, надо смотреть кто в указанном дате зашел в терминал. это совсем не сложное дело, 3 года анзад я даже сам тренировался для сдачи экзамена в Microsoft, а щас не помню.

а с чего вы взяли что лог будет актуальным? что его не вычистили например? или тупо скомпрометировали - поставили левые данные???
Большая часть присутствующих здесь придерживается принципа: "чем больше бумаги (в нашем случае информации), тем чище то самое место". И поверьте все это не с проста.
Davydoff
Член клуба
 
Сообщения: 252
Зарегистрирован: 13 ноя 2008, 10:29
Откуда: Западная Сибирь
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

След.

Вернуться в KREC

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron