Сетевой криминал... :-( - Сети

SabbaOff · 30.07.2004, 13:18

Доброго времени суток!
Есть вопрос:
У моих друзей локалка ч/з ВинРоут (Модем)подключенная И-нету, у них есть оччень веские подозрения, что из-вне ктото лазит по их сетке ("уплывает" приватная информация).
1. Как отследить засранца?
2. Как "интелигетно" наказать имярек?

2 Alrt - в топе Интернет-Безопасность отослал к Вам...

KalaSh · 30.07.2004, 13:32

Хорошо, тогда к тебе сначала появляются вопросы:
FireWall какой-нибудь установлен?
Если да, то что логи показывают?
Антивирусные базы насколько свежие?
Spybot'ом троянов ловить пробовали?
Ответив на них, мы сможем хоть как-то начать разбираться.

SabbaOff · 30.07.2004, 13:38

WinRout-ом отловлен - ИП...
Насколько я понял файервол на WinRout-те не настроен, хотя Win2000...
там по безопасности доступ из-вне получить нельзя...

совсем забыл уточнить...
завтра первый раз посмотрю на их сеть....
в принципе вопрос в том, КАК наказать (забег в 6-ку не предлагать

)?
доп инфа: ИП отловлен в сеансах (Мой компьютер-Управление) соединение - КалБэк... Кто-нибудь обьясните КАК такое возможно?!!!

KalaSh · 30.07.2004, 14:22

1. По ip по крайней мере можно уточнить местонахождение (город, провайдер), при условии, что злоумышненник не пользуется анонимным прокси. Ну а дальнейшие действия по вашему усмотрению.
2. Я бы посоветовал на некоторое время поставить файрволл, вроде outpost'a, и отслеживать запросы на соединения, думаю так можно будет доказать, что кто-то пользуется вашей сетью.

SabbaOff · 30.07.2004, 14:29

1. город и провайдер тот же что и у моих друзей (диапазон ИП прова)...
2. оутпост не пропустит (по крайней мере настроенный)... ;-)

P.S.: я бы и сам все сделал (по безопасности), но народ жаждет крови...

А я больше специализируюсь на лечении, а не на мочилове...

KalaSh · 30.07.2004, 14:45

1. Чтобы мочить, нужно поймать за руку.
2. Попробуйте узнать у провайдера, кто использует адрес, под которым вы подозреваете злоумышленника.

SabbaOff · 30.07.2004, 14:59

;-(
не ответит...
это самый "навороченный" пров в нашем городе...
ему для этого нужно постановление суда или запрос 6-ки...

добавленно:
Запросы УБОПа и УБЭПа игнорируются на корню...

FantomIL · 01.08.2004, 23:18

Тогда можно собрать доказауху (в виде логов системы и стенки) и, если, по логам проникновение очевидно, то отправить прову телегу с прицеплеными логами. Если пров серьезный, то наказание в виде пожизненого отключения от Сети последует незамедлительно. Это гуманный способ.
Если хочешь способ негуманный

, то в Асю, потому что правила этого раздела подобные вещи описывать запрещают.

dr-evil · 02.08.2004, 10:44

Ребят а чем винроут не файрволл?
Если поставить галку на привиле (Писать совпавшие события), то будет вам и лог.... Соединения он отлично показывает....

SabbaOff · 02.08.2004, 16:59

Всем ОГРОМНОЕ спасибо за "соучастие"

!!!!
Проблема решилась "малой кровью и на чужой територии"...

С меня рассказ...

Короче даю ИП-шник владельцу сети,а он не будь дурак - звонит тому самому прову и спрашивает: "как в такой ситуации быть?"

ну его приглашают типа побеседовать...

)))))))

(не могу - меня сейчас разорвет как хомячка от капли никотина)

)))))

Возвращается с "беседы" задумчивый до крайности....
На вопросы не отвечает просит те самые Логи...
Даю на бумаге и на флешке... Уехал...

Возвращается... Уже обалдевший...

))

Короче...
В первый приход Зам генерального или кого-то-ТАМ его кофем поил коньячек предлагал... (как оказалось время тянул)...
ДОлго ли коротко - приехали "мужчинки стремные"(с)Чиж и давай логами интересоваться...

))

Оказывается на прошлой неделе был принят верховной радой закон (в каком-то там чтении) о преступлениях в информационной сфере (или как-то там)

))

Так, что теперь засранец отсетгнет штрафа 100 минимальных ну и скоко пострадавший "попросит"...

P.S.: Нет такого дела которое нельзя сделать ничего не делая...

Еще раз всем спасибо!..

y3k · 11.08.2004, 02:09

Хмм, полный лол, нельзя наказывать по логам, я ща напечатаю на своего соседа васю мол он у меня на компе лазил и поеду к прову и они его оштрафуют??? =) мегалол, логи должны извлекаться специалистами, и даже это можно оспорить, ответчик может потребовать чтобы логи смотрел и извлекал с его компьютера и с компьютера выступашвего в роли вин роута, другой человек, не из милиции или откуда там. И вообщем логи могут быть изменены, подстроены первыми, вторыми и третьими лицами, причем последние могут это зделать (изменить логи) без ведома первых =) вот такая загагулина, так что ответчик вполне может оспорить это решение, так же забыл, сначала нужно заводить уголовное дело на ответчика, потом оно идет в суд и только там уже начинают доставать логи =)

SabbaOff · 16.08.2004, 13:18

2 y3k

вся бодяга с логами клиента была нужна, что бы иметь повод отслеживать трафик самим провом...

а в остальном...
клиент резко стал щедрым...

y3k · 21.08.2004, 10:45

Отслеживать прову и потом отдавать вам или пров сам решал что делать с трафиком =)

SabbaOff · 21.08.2004, 13:10

Все проще:
В связи с "обновлениями" в руководстве МВД и новыми веяниями "по борьбе с преступлениями в информационной сфере" органы крайне заинтересованы в "поднятии своего рейтинга"...
Далее такая схема:
- органы по неофициальным каналам обращаются к провайдерам, что бы те сигнализировали о всех жалобах подобного рода.
- пров не имеет права отслеживать (в интересах третьих сторон) трафик клиентов без соответствующего постановления прокуратуры, но...
обязан сообщить о нарушениях в соответствующие органы. ;-)
Что он и делает...
^- <информация получена в областном управлении МВД в Н-ской области>

- органы, на основании сигнала прова, берут заявление у "пострадавшего" на основании (не важно липовые или нет) логов "пострадавшего" делают запрос в прокуратуру, которой (в свою очередь) тоже хочется "поднять свой рейтинг"...
^- <со слов "пострадавшего">
Вот тут и появляется ордер прокуратуры на отслеживание логов непосредственно на стороне провайдера...

Что будет дальше не могу знать... (покаместь) ;-)

30.07.2004, 13:18	# 1
SabbaOff Newbie Регистрация: 20.07.2004 Сообщения: 47	Сетевой криминал... :-( Доброго времени суток! Есть вопрос: У моих друзей локалка ч/з ВинРоут (Модем)подключенная И-нету, у них есть оччень веские подозрения, что из-вне ктото лазит по их сетке ("уплывает" приватная информация). 1. Как отследить засранца? 2. Как "интелигетно" наказать имярек? 2 Alrt - в топе Интернет-Безопасность отослал к Вам...

30.07.2004, 13:32	# 2
KalaSh Moderator Регистрация: 30.10.2003 Адрес: 2men'57°10'N65°33'E Сообщения: 2 165	Хорошо, тогда к тебе сначала появляются вопросы: FireWall какой-нибудь установлен? Если да, то что логи показывают? Антивирусные базы насколько свежие? Spybot'ом троянов ловить пробовали? Ответив на них, мы сможем хоть как-то начать разбираться. __________________ Правила раздела "ICQ, IRC, Trillian, Miranda, &RQ и прочие.." Вклад IMHO.WS в медицину и науку Присоединяйтесь

30.07.2004, 13:38	# 3
SabbaOff Newbie Регистрация: 20.07.2004 Сообщения: 47	WinRout-ом отловлен - ИП... Насколько я понял файервол на WinRout-те не настроен, хотя Win2000... там по безопасности доступ из-вне получить нельзя... совсем забыл уточнить... завтра первый раз посмотрю на их сеть.... в принципе вопрос в том, КАК наказать (забег в 6-ку не предлагать )? доп инфа: ИП отловлен в сеансах (Мой компьютер-Управление) соединение - КалБэк... Кто-нибудь обьясните КАК такое возможно?!!! Последний раз редактировалось SabbaOff; 30.07.2004 в 14:09. Причина: Склероз, знаете ли...

30.07.2004, 14:29	# 5
SabbaOff Newbie Регистрация: 20.07.2004 Сообщения: 47	1. город и провайдер тот же что и у моих друзей (диапазон ИП прова)... 2. оутпост не пропустит (по крайней мере настроенный)... ;-) P.S.: я бы и сам все сделал (по безопасности), но народ жаждет крови... А я больше специализируюсь на лечении, а не на мочилове... Последний раз редактировалось SabbaOff; 30.07.2004 в 14:32. Причина: В догонку...

30.07.2004, 14:59	# 7
SabbaOff Newbie Регистрация: 20.07.2004 Сообщения: 47	;-( не ответит... это самый "навороченный" пров в нашем городе... ему для этого нужно постановление суда или запрос 6-ки... добавленно: Запросы УБОПа и УБЭПа игнорируются на корню... Последний раз редактировалось SabbaOff; 30.07.2004 в 15:01. Причина: в догонку...

30.07.2004, 14:22	# 4
KalaSh Moderator Регистрация: 30.10.2003 Адрес: 2men'57°10'N65°33'E Сообщения: 2 165	1. По ip по крайней мере можно уточнить местонахождение (город, провайдер), при условии, что злоумышненник не пользуется анонимным прокси. Ну а дальнейшие действия по вашему усмотрению. 2. Я бы посоветовал на некоторое время поставить файрволл, вроде outpost'a, и отслеживать запросы на соединения, думаю так можно будет доказать, что кто-то пользуется вашей сетью.

30.07.2004, 14:45	# 6
KalaSh Moderator Регистрация: 30.10.2003 Адрес: 2men'57°10'N65°33'E Сообщения: 2 165	1. Чтобы мочить, нужно поймать за руку. 2. Попробуйте узнать у провайдера, кто использует адрес, под которым вы подозреваете злоумышленника.

01.08.2004, 23:18	# 8
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	Тогда можно собрать доказауху (в виде логов системы и стенки) и, если, по логам проникновение очевидно, то отправить прову телегу с прицеплеными логами. Если пров серьезный, то наказание в виде пожизненого отключения от Сети последует незамедлительно. Это гуманный способ. Если хочешь способ негуманный , то в Асю, потому что правила этого раздела подобные вещи описывать запрещают. __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером

02.08.2004, 10:44	# 9
dr-evil ::VIP:: Регистрация: 17.02.2002 Адрес: /home/dr-evil Пол: Male Сообщения: 2 212	Ребят а чем винроут не файрволл? Если поставить галку на привиле (Писать совпавшие события), то будет вам и лог.... Соединения он отлично показывает.... __________________ Сеть - это диагноз... а сисадмин - состояние души. Питер! Все на сходку!!! \| Обзоры порталов. Добавь свою любимую систему!

02.08.2004, 16:59	# 10
SabbaOff Newbie Регистрация: 20.07.2004 Сообщения: 47	Всем ОГРОМНОЕ спасибо за "соучастие" !!!! Проблема решилась "малой кровью и на чужой територии"... С меня рассказ... Короче даю ИП-шник владельцу сети,а он не будь дурак - звонит тому самому прову и спрашивает: "как в такой ситуации быть?" ну его приглашают типа побеседовать... ))))))) (не могу - меня сейчас разорвет как хомячка от капли никотина) ))))) Возвращается с "беседы" задумчивый до крайности.... На вопросы не отвечает просит те самые Логи... Даю на бумаге и на флешке... Уехал... Возвращается... Уже обалдевший... )) Короче... В первый приход Зам генерального или кого-то-ТАМ его кофем поил коньячек предлагал... (как оказалось время тянул)... ДОлго ли коротко - приехали "мужчинки стремные"(с)Чиж и давай логами интересоваться... )) Оказывается на прошлой неделе был принят верховной радой закон (в каком-то там чтении) о преступлениях в информационной сфере (или как-то там) )) Так, что теперь засранец отсетгнет штрафа 100 минимальных ну и скоко пострадавший "попросит"... P.S.: Нет такого дела которое нельзя сделать ничего не делая... Еще раз всем спасибо!..

11.08.2004, 02:09	# 11
y3k Junior Member Регистрация: 10.08.2004 Адрес: Владивосток Пол: Male Сообщения: 178	Хмм, полный лол, нельзя наказывать по логам, я ща напечатаю на своего соседа васю мол он у меня на компе лазил и поеду к прову и они его оштрафуют??? =) мегалол, логи должны извлекаться специалистами, и даже это можно оспорить, ответчик может потребовать чтобы логи смотрел и извлекал с его компьютера и с компьютера выступашвего в роли вин роута, другой человек, не из милиции или откуда там. И вообщем логи могут быть изменены, подстроены первыми, вторыми и третьими лицами, причем последние могут это зделать (изменить логи) без ведома первых =) вот такая загагулина, так что ответчик вполне может оспорить это решение, так же забыл, сначала нужно заводить уголовное дело на ответчика, потом оно идет в суд и только там уже начинают доставать логи =)

16.08.2004, 13:18	# 12
SabbaOff Newbie Регистрация: 20.07.2004 Сообщения: 47	2 y3k вся бодяга с логами клиента была нужна, что бы иметь повод отслеживать трафик самим провом... а в остальном... клиент резко стал щедрым...

21.08.2004, 10:45	# 13
y3k Junior Member Регистрация: 10.08.2004 Адрес: Владивосток Пол: Male Сообщения: 178	Отслеживать прову и потом отдавать вам или пров сам решал что делать с трафиком =)

21.08.2004, 13:10	# 14
SabbaOff Newbie Регистрация: 20.07.2004 Сообщения: 47	Все проще: В связи с "обновлениями" в руководстве МВД и новыми веяниями "по борьбе с преступлениями в информационной сфере" органы крайне заинтересованы в "поднятии своего рейтинга"... Далее такая схема: - органы по неофициальным каналам обращаются к провайдерам, что бы те сигнализировали о всех жалобах подобного рода. - пров не имеет права отслеживать (в интересах третьих сторон) трафик клиентов без соответствующего постановления прокуратуры, но... обязан сообщить о нарушениях в соответствующие органы. ;-) Что он и делает... ^- <информация получена в областном управлении МВД в Н-ской области> - органы, на основании сигнала прова, берут заявление у "пострадавшего" на основании (не важно липовые или нет) логов "пострадавшего" делают запрос в прокуратуру, которой (в свою очередь) тоже хочется "поднять свой рейтинг"... ^- <со слов "пострадавшего"> Вот тут и появляется ордер прокуратуры на отслеживание логов непосредственно на стороне провайдера... Что будет дальше не могу знать... (покаместь) ;-)