Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Взлом по wi-fi ? (http://forum.oszone.net/showthread.php?t=294027)

Rutracker 16-01-2015 18:21 2457122
Взлом по wi-fi ?
 
Вложений: 1
Добрый день!
Заглючил модем,сменился ключ безопасности (сижу через вай-фай).Пришлось ехать к прову,там перепрошили модем и интернет снова заработал.
Назавтра у ноута ни с того ни с сего появилась учетка Администратора,которая не открывается,пароль неизвестен.Учетка Юзер открывается без пароля,по простому нажатию на иконку.В Одноклассниках пришло сообщение от аккаунта-однодневки что-то вроде "Я взломал ваш компьютер,все файлы под моим контролем,если захочу - удалю или заблокирую" (смысл такой,но цитата не дословная).Модем опять начал сбоить.
Установлен бесплатный Аваст,никаких угроз не находит.Сканирование Куреитом,МБАМ,АдвКлинером и утилитой Касперского результатов не дало - все чисто.И еще - на ноуте обнаружил включеным автозапуск с дисков и флешки,хотя он был всегда отключен.
Взламывают вай-фай?Впервые сталкиваюсь с подобным,на розыгрыш явно не похоже.Файлы пока не заблокированы,ничего пока еще не удалено.Сейчас работаю с другого ПК,по проводному.
Прошу помощи,логи прилагаю.

iskander-k 16-01-2015 19:08 2457144
Эти IP адреса ваши или они вам знакомы ?

82.209.213.51, 193.232.248.2


TeamViewer - вы устанавливали ?

Rutracker 16-01-2015 19:26 2457152
Цитата:
Цитата iskander-k
Эти IP адреса ваши или они вам знакомы ?
82.209.213.51, 193.232.248.2
TeamViewer - вы устанавливали ? »
Адреса мои (нашего региона).Прописаны в настройках.

ТимВьюер устанавливался мною. Деинсталлирован вчера.

Rutracker 17-01-2015 13:49 2457431
Добрый день!
То есть на вопросе про айпи лечение закончено?

iskander-k 17-01-2015 14:33 2457446
Цитата:
Цитата Rutracker
То есть на вопросе про айпи лечение закончено? »
Нет.. Мы не вечно же на форуме сидим, есть и свои дела.

По логам активного заражения не видно.

Цитата:
Цитата Rutracker
Взламывают вай-фай? »

Да.

К примеру аналогичная ситуация Скорее всего Вам нужно будет снова перепрошить и попросить отключить ненужные настройки роутера установить на вай-фай сложный пароль состоящий из букв разного регистра и цифр. И соответственно поменять все пароли.

Rutracker 17-01-2015 14:42 2457449
Цитата:
Цитата iskander-k
Цитата Rutracker:
Взламывают вай-фай? »
Да.
К примеру аналогичная ситуация Скорее всего Вам нужно будет снова перепрошить и попросить отключить ненужные настройки роутера установить на вай-фай сложный пароль состоящий из букв разного регистра и цифр. И соответственно поменять все пароли. »
То есть даже следов в системе (при подобных атаках) не остается? И выяснить об атакующем ничего не представляется возможным? Ничего противопоставить последующим взломам невозможно, один-единственный вариант - только длинный пароль на роутер? Поверьте мне на слово,ключ безопасности был и так сложнее некуда, как у шифратора в ваших темах про крипторы...Мда, не ожидал такого пессимизма...Даже не знаю,что и делать.

iskander-k 17-01-2015 14:53 2457452
Цитата:
Цитата Rutracker
То есть даже следов в системе (при подобных атаках) не остается? »
Если взломан роутер , то в системе следов не будет.

Цитата:
Цитата Rutracker
Поверьте мне на слово,ключ безопасности был и так сложнее некуда, как у шифратора в ваших темах про крипторы »
Если в ПО роутера есть неперекрытые дыры и есть заинтересованные в халявном инете соседи, то будет взломан практически любой пароль за разумное время.

Цитата:
Цитата Rutracker
Даже не знаю,что и делать. »
Почитайте тему по ссылке и попросите вашего прова на вашем роутере перекрыть(если у вас такой же роутер , а их большинство) если другой модели роутер то по аналогии..

Rutracker 17-01-2015 14:56 2457454
Цитата:
Цитата iskander-k
То есть даже следов в системе (при подобных атаках) не остается? »
Если взломан роутер , то в системе следов не будет. »
А как это соотносится с появлением админа и паролей на ноутбуке? То есть кроме взлома сети был таки удаленный доступ и возможность действий в самой системе. Вот это непонятно...И все равно следов нет..?

iskander-k 17-01-2015 15:08 2457458
Скорее всего воспользовались вашим теамвьювером или своим ПО для поиска и обзора паролей. Данные логи не показывают информацию сетевой деятельности за промежуток времени и что было использовано .
К тому же у вас разрешены к использованию встроенные в ОС возможности для подключения к вашему компу

Цитата:
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
то есть фактически действия взломщика ничем не ограничивались самим функционалом ОС.
Для надежности всегда рекомендуется использовать компьютер под учеткой гостя или учеткой с ограниченными правами.


данный скрипт выполненный в авз отключит


>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя


Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написанный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('TermService', 4);
end.

Rutracker 17-01-2015 15:31 2457463
Цитата:
Цитата iskander-k
К тому же у вас разрешены к использованию встроенные в ОС возможности для подключения к вашему компу »
Я писал выше,что изначально отключенный автозапуск оказался включенным для всех дисков.Очевидно,то же самое произошло и с сервисами для удаленного подключения.Все потенциально опасные службы я отключаю сразу.Вы же знаете, что сам по себе ТимВьюер не выходит в сеть,он изначально требует ввода пароля для соединения с другим рабочим столом,т.е. необходимо явное разрешение.Значит - проникновение имело место...Я прочел указанную Вами тему,там только о уязвимости роутера, у них не было изменений в системе.Из чего я только укрепляюсь в мысли о наличии (или имевшем место,но впоследствии уничтоженного) вредоносного ПО...
Т.е. говоря обобщенно,на данный момент и простые пользователи и профессионалы,практически бессильны противостоять атакам хакеров или даже обычных соседей,которые нарыли в Инете ПО для взлома вай-фай? Не ожидал,что все так плохо. Удивительно,что сейчас все заняты обсуждением шифровальщиков,а проблема,которая может коснуться абсолютно каждого, всплывает в отдельных темах и ничего не остается,кроме как развести руками и посетовать на дыры в роутерах...
Пров может выяснить,куда идет трафик с вайфай?Или такие логи возможно вести только для проводного?

iskander-k 17-01-2015 15:45 2457471
Цитата:
Цитата Rutracker
Пров может выяснить,куда идет трафик с вайфай?И »
Нет.

Радиус уверенного приема в зависимости от условий обычного домашнего роутера с фай-вай от 100 до 400 метров. В обычном панельном доме этот радиус более менее уверенного приёма 1 максимум 2 квартиры от вашего роутера. Ваш злыдень сидит недалеко от вас .Закройте на роутере все лишние порты и усложните пароль знаками разного регистра + цифры.

Rutracker 17-01-2015 15:55 2457474
Цитата:
Цитата iskander-k
Цитата Rutracker:
Пров может выяснить,куда идет трафик с вайфай?И »

Нет. »
Цитата:
Цитата iskander-k
В обычном панельном доме этот радиус более менее уверенного приёма 1 максимум 2 квартиры от вашего роутера. Ваш злыдень сидит недалеко от вас . »
Спасибо и на этом.Разберемся...


Время: 21:11.

Время: 21:11.
© OSzone.net 2001-