Помогите побороться с хакером

veugen · 18.06.2009

Камрады, хелп!
у сотрудника на работе третий раз воруют аську и почту, хронология событий такая:
1) в эти выходные (13 июня) взломали (украли пароли?) почту и аську. почта на мейл.ру, восстановили кое-как и сменили пароль, аську он завел новую;
2) со вторника на среду повторно взломали почту и написали в новую (!) уже аську, что мол это будет продолжаться и дальше
3) сегодня с утра аська новая не принимала пароль, потом все таки заработала, но в аську с номера 6990613 приходит такое сообщение:

18/06/2009 (06:55 GMT +03:00)
твоё мыло и аська, поверь это только начало того что я собираюсь делать, по крайней мере с того IP который я знаю, домашний он у тебя или с работы, проводится атака, когда я доберусь до сервака твоей компании, ты просто об этом очень пожалеешь, а в логах я постараюсь сделать так чтобы всё проводилось именно с твоего компа)

Как пробить, откуда идет атака и что с этим делать?

Комп сотрудника не напрямую выходит в инет, а через прокси UserGate, в UserGate настроен файрволл и на самом сервере и у других сотрудников таких проблем нет.

Hunter · 18.06.2009

veugen сказал(а):
Камрады, хелп!
у сотрудника на работе третий раз воруют аську и почту, хронология событий такая:
1) в эти выходные (13 июня) взломали (украли пароли?) почту и аську. почта на мейл.ру, восстановили кое-как и сменили пароль, аську он завел новую;
2) со вторника на среду повторно взломали почту и написали в новую (!) уже аську, что мол это будет продолжаться и дальше
3) сегодня с утра аська новая не принимала пароль, потом все таки заработала, но в аську с номера 6990613 приходит такое сообщение:

18/06/2009 (06:55 GMT +03:00)
твоё мыло и аська, поверь это только начало того что я собираюсь делать, по крайней мере с того IP который я знаю, домашний он у тебя или с работы, проводится атака, когда я доберусь до сервака твоей компании, ты просто об этом очень пожалеешь, а в логах я постараюсь сделать так чтобы всё проводилось именно с твоего компа)

Как пробить, откуда идет атака и что с этим делать?

Комп сотрудника не напрямую выходит в инет, а через прокси UserGate, в UserGate настроен файрволл и на самом сервере и у других сотрудников таких проблем нет.

Могу предположить , что кто то из вашей же подсетки шалит.

veugen · 18.06.2009

Hunter сказал(а):
Могу предположить , что кто то из вашей же подсетки шалит.

В подсетке 6 ПК всего, это очень маловероятно.

На компах кстати стоит KIS 2009.

Макс · 18.06.2009

1) В милицию идите и всё решится. В отдел "К" по моему.
2) Пароль должен быть сложным, лучше что бы он состоял из (цифр,знаков,букв и т.д.)
3) Проверти комп бесплатной утилиткой от Dr.Web, её можно скачать с официально сайта.

dalex · 18.06.2009

Админу об этом сказать.

Hunter сказал(а):
Могу предположить , что кто то из вашей же подсетки шалит.

Похоже на то.

Nusferatus · 18.06.2009

Макс сказал(а):
1) В милицию идите и всё решится. В отдел "К" по моему.
2) Пароль должен быть сложным, лучше что бы он состоял из (цифр,знаков,букв и т.д.)
3) Проверти комп бесплатной утилиткой от Dr.Web, её можно скачать с официально сайта.

Там что угодно может быть, начиная от трояна типа бэкдор, но явно не тупой подбор пароля.
Касательно обращения в правоохранительные органы +1.

veugen · 18.06.2009

Макс сказал(а):
1) В милицию идите и всё решится. В отдел "К" по моему.

Гм... сомневаюсь что они захотят такими вещами заниматься, хотя знакомые там есть

Макс сказал(а):
2) Пароль должен быть сложным, лучше что бы он состоял из (цифр,знаков,букв и т.д.)

такой и был, новые пароли вообще по 13-15 символов разными регистрами на разных языках.

Макс сказал(а):
3) Проверти комп бесплатной утилиткой от Dr.Web, её можно скачать с официально сайта.

проверили, не помогло.

dalex · 18.06.2009

veugen сказал(а):
проверили, не помогло.

А машину с UserGate проверили?

veugen · 18.06.2009

dalex сказал(а):
А машину с UserGate проверили?

В данный момент заканчивается проверка, пока ничего нет.

Phoenix · 18.06.2009

veugen сказал(а):
Гм... сомневаюсь что они захотят такими вещами заниматься, хотя знакомые там есть

такой и был, новые пароли вообще по 13-15 символов разными регистрами на разных языках.

Вот именно такими вещами они и занимаются - 1

2 - явно имеется доступ к кому, коли так говоришь всё защищено - значит с работы наверняка некто, МБ и Админ сам же.

veugen · 18.06.2009

Ну админством у нас занимаются несколько человек и я в том числе, причем полный доступ ко всему есть ТОЛЬКО у меня, но это не я

Nikk · 18.06.2009

Если длинный пароль взломали, то это могли сделать только сниффером. А если у вас стоит хаб, то с любого компа можно отслеживать любой.

"1) В милицию идите и всё решится. В отдел "К" по моему"
+1

Фокс Малдер · 18.06.2009

Кто-то с огнём играет....................

Val · 18.06.2009

А может кто-то поставил на его комп кейлоггер какой-нибудь и тупо потом собирает пароли?

Alex 777 · 18.06.2009

+1 к заявлению в милицию

Фокс Малдер · 18.06.2009

Alex 777 сказал(а):
+1 к заявлению в милицию

Чернышевского 88, Управление К.

Dark_girl · 18.06.2009

по-любому кто-то из обиженных неправедно-уволенных сотрудников развлекается. надо в отдел "К" ГУВД Саратовской области:dc41bde38af1bebc0ab

Unlimited · 18.06.2009

FOX MALDER сказал(а):
Чернышевского 88, Управление К.

Они реально будут этим заниматься?

AV · 18.06.2009

Отключить комп от сети на некоторое время (проверить, сменить апи, поставить файрвол типа комодо), перейти с юзер гейта на сквид, закрыть всё что можно, оставить тока всё что надо для работы.

Nusferatus · 18.06.2009

Unlimited сказал(а):
Они реально будут этим заниматься?

Ещё как будут.

Помогите побороться с хакером

veugen

Участник

Hunter

Новичок

veugen

Участник

Макс

Активный участник

dalex

Новичок

Nusferatus

Super Moderator

veugen

Участник

dalex

Новичок

veugen

Участник

Phoenix

Новичок

veugen

Участник

Nikk

Участник

Фокс Малдер

Guest

Val

Участник

Alex 777

Guest,

Фокс Малдер

Guest

Dark_girl

Новичок

Unlimited

Участник

AV

Новичок

Nusferatus

Super Moderator