|
Люсь
|
 |
« : 08-09-2010 09:46 » |
|
Как тока меня нету на рабочем месте, супер-вумные парни наши каким-то образом логинятся на мой комп и играются в свои стрелялки. Что сделать, чтобы не получалось войти в систему без моего ведома?
В save-mode я поставила пароль на админа, других пользователей у меня нет.
Сам пароль надёжный. Ненадёжные службы вроде бы убила...
Я тут мельком услышала в разговоре этих парней, что они входят в систему с помощью какого-то специального пароля, который способен системой восприниматься как правильный. При этом исходный пароль сохраняется, т.е. подвоха я не должна была заметить, если бы не мелочи на моём рабочем столе.
Ещё раньше я сама лично сбрасывала пароль с помощью утилитки на дискете, но при этом исходный пароль не сохраняется. Так что вряд ли они взломали вход с помощью такой программки, хотя кто его знает, какие их разновидности есть?
Дисковода для дискет у меня нет, есть dvd/usb/local, комп опечатан.
Система: Microsoft Windows XP Professional версия 2002 SP3.
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Алексей++
глобальный и пушистый
Глобальный модератор
 Offline
Сообщений: 13
|
|
« Ответ #1 : 08-09-2010 09:56 » |
|
Люсь, только съёмный USB винт  Ибо студент непобедим... |
|
|
|
|
Записан
|
|
|
|
|
Serg79
|
|
« Ответ #2 : 08-09-2010 10:08 » |
|
Заинтриговала Люсь, если есть пароль на Админа и других пользователей нет, то самому интересно как они могут заходить... Да же ври входе в "Безопасном режиме" требуется ввод пароля "Администратора"...
При инсталляции Windows создается пользователь "Администратор", может у него нет пароля? А твоя административная учетка, просто дополнительный юзер в системе с правами Администратора?
|
|
|
|
|
Записан
|
|
|
|
|
Serg79
|
|
« Ответ #3 : 08-09-2010 10:11 » |
|
Люсь, может машина входит в Windows домен и они регистрируются под своими учетками? Тогда как им удается на твоем рабочем столе менять местами иконки, то же не понятно.
|
|
|
|
|
Записан
|
|
|
|
|
zubr
Гость
|
|
« Ответ #4 : 08-09-2010 10:21 » |
|
Люсь, если у тебя комп подлючен к сети, то сетевому администратору не нужно знать твой пароль, он может войти со своего пароля.
Проверь комп на наличие кейлоггера.
|
|
|
|
|
Записан
|
|
|
|
|
Люсь
|
|
« Ответ #5 : 08-09-2010 10:34 » |
|
Serg79, нет, у меня этот Администратор и есть единственная учетная запись. Вход в систему у нас не доменный, неужели сетевой администратор может войти в таком случае? Им комп нужен, как игровая станция, они входят в комп именно на моём рабочем месте. Посмотрите мой диспетчер, я не уверена точно, какая служба тут за что отвечает?
|
 disp.JPG (72.56 Кб - загружено 1425 раз.)
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Finch
Спокойный
Администратор
Offline
Пол: 
Пролетал мимо
|
|
« Ответ #6 : 08-09-2010 10:40 » |
|
В Биос есть функция, при включении компьютера, после всех тестов он спрашивает пароль. Вот его точно не пробьёш программно. Только физически. Вскрывая крышку и перемыкая перемычку. Хотя я слышал, что есть backdoor на биос тоже. |
|
|
|
|
Записан
|
Не будите спашяго дракона. Джаффар (Коша) |
|
|
Джон
просто
Администратор
Offline
Пол:
|
|
« Ответ #7 : 08-09-2010 10:46 » |
|
Люсь, те они просто садятся за твой комп, вводят пароль и играют под твоим аккаунтом? Я правильно понял, комп работает, ты не выходишь из системы, а просто делаешь Win+L?
|
|
|
|
|
Записан
|
Я вам что? Дурак? По выходным и праздникам на работе работать. По выходным и праздникам я работаю дома.
"Just because the language allows you to do something does not mean that it’s the correct thing to do." Trey Nash
"Physics is like sex: sure, it may give some practical results, but that's not why we do it." Richard P. Feynman
"All science is either physics or stamp collecting." Ernest Rutherford
"Wer will, findet Wege, wer nicht will, findet Gründe."
|
|
|
|
Люсь
|
|
« Ответ #8 : 08-09-2010 10:46 » |
|
Finch, я не уверена, что когда я уеду, они не вскроют системник под каким-нибудь предлогом, я тут с прошлой сессии приехала - а монитора на моём столе нет! В каком-то цеху сгорел и туда мой моник временно отдали. Ещё в позапрошлый раз они мне поменяли винт (полудохлый надо сказать) на новый, благо я только 1 день поработала. Системник конечно вряд ли заберут, но могут там выдумать что-нибудь... И заодно батарейку вытащат или проц, чтоб сбросить установки... С этим я ничего не смогу поделать, у нас начальник самодур конкретный. Вот за переустановку системы я их порву конечно, вряд ли они сунутся это сделать, так что нельзя придумать что-нибудь на уровне системы?
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Sla
|
|
« Ответ #9 : 08-09-2010 10:49 » |
|
Люсь, смотри event'ы когда вошли, когда вышли
возможно, что твой пароль ломают
проверь какие пользователи есть на компьютере, отключи всех подозрительных. (ты говоришь, что нет)
проверь что у тебя в "задачах"
KMGLNC - что это? где это?
LogWantNT - что это? где это?
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
Люсь
|
|
« Ответ #10 : 08-09-2010 10:50 » |
|
Джон, нет. Меня вообще не было в этот день на работе и комп был выключен.
После того, как я заметила это в прошлый раз и вызнала, кто это, я заблокировала админскую учётку в save-mode паролем, после чего попытки того чела прекратились. Я даже не предполагала, что может быть ещё какая-то дыра. В этот раз это были другие человеки. И они не признаются, как они сумели войти в систему. Пароль я на всякий случай поменяла, но хотелось бы иметь полную уверенность на время предстоящей сессии.
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
zubr
Гость
|
|
« Ответ #11 : 08-09-2010 10:51 » |
|
Посмотри что у тебя в автозагрузке. Кстати, не стоит ли случайно у вас в организации система h**p://www.searchinform.ru/index.html или ей подобная?
|
|
|
|
|
Записан
|
|
|
|
|
Sla
|
|
« Ответ #12 : 08-09-2010 10:54 » |
|
у sysinternals есть утилита autoruns.exe
посмотри что, где и как у тебя запускается в "автозагрузке"
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
Люсь
|
|
« Ответ #13 : 08-09-2010 10:56 » |
|
Sla, "смотри event'ы когда вошли, когда вышли" - что это? где это?
"проверь что у тебя в "задачах"" - что это? где это?
"KMGLNC - что это? где это?
LogWantNT - что это? где это?"
как определить?
Спасибо за, продолжим завтра )
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Алексей++
глобальный и пушистый
Глобальный модератор
Offline
Сообщений: 13
|
|
« Ответ #14 : 08-09-2010 11:13 » |
|
|
|
|
|
« Последнее редактирование: 08-09-2010 11:15 от Алексей1153++ »
|
Записан
|
|
|
|
|
Kivals
|
|
« Ответ #15 : 08-09-2010 11:31 » |
|
Если я правильно помню - можно "убить" какой-то файл в профиле пользователя - при этом пароль будет пустой, и возможно если его вернуть на место - то пароль вернется старый.
Ни один из производителей ОС (включая MS) не дает гарантий на устойчивость к взлому при наличии физического доступа к компьютеру.
Итого схема рисуется такая: загрузка с LiveUSB/LiveCD/LiveDVD, move файла пароля, вход с пустым паролем. Потом вернуть все назад.
|
|
|
|
|
Записан
|
|
|
|
|
Serg79
|
|
« Ответ #16 : 08-09-2010 12:25 » |
|
Если я правильно помню - можно "убить" какой-то файл в профиле пользователя - при этом пароль будет пустой, и возможно если его вернуть на место - то пароль вернется старый.
Ни один из производителей ОС (включая MS) не дает гарантий на устойчивость к взлому при наличии физического доступа к компьютеру.
Итого схема рисуется такая: загрузка с LiveUSB/LiveCD/LiveDVD, move файла пароля, вход с пустым паролем. Потом вернуть все назад.
Это все сложно Kivals и трудно выполнимая людьми, которые вскрывают учетку только для того что бы по сетке весь день играть. Наверняка парни просто знают Люсин пароль и пользуются им. Люсь, смени свой пароль просто. Выбери что нибудь похожее: dfg345sdfbGR#fkhq23f58 )))) |
|
|
|
|
Записан
|
|
|
|
|
Kivals
|
|
« Ответ #17 : 08-09-2010 12:37 » |
|
Предположение из области социальной инженерии: нет ли за плечами камеры наблюдения, которой можно подсмотреть пароль?  |
|
|
|
|
Записан
|
|
|
|
resource
Молодой специалист
Offline
Пол:
|
|
« Ответ #18 : 08-09-2010 19:36 » |
|
Присоединяюсь к предложению Sla, насчет посмотреть event'ы. По крайней мере, это явно должно быть одним из первых шагов.
|
|
|
|
|
Записан
|
|
|
|
|
Люсь
|
|
« Ответ #19 : 09-09-2010 03:14 » |
|
ха, ха, поиск на яндексе (2-я лёшина ссылка) выдаёт эту страницу ))))
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Люсь
|
|
« Ответ #20 : 09-09-2010 03:37 » |
|
Kivals, нет ) Но за спиной (сбоку вернее, уровень глаз ниже расположения клавиатуры) всё время сидит кто-нибудь )
Но понимаете, я говорю про программку или про спец-пароль, которым они это делают. Потому что так регулярно происходит с компом, на котором работают сменщики и которые друг другу из пакости всё время ставят пароли и не сообщают эти пароли.
И всё-таки, как посмотреть event'ы???
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Алексей++
глобальный и пушистый
Глобальный модератор
Offline
Сообщений: 13
|
|
« Ответ #21 : 09-09-2010 03:45 » |
|
ха, ха, поиск на яндексе (2-я лёшина ссылка) выдаёт эту страницу ))))
вот видишь, я был прав  |
|
|
|
|
Записан
|
|
|
|
|
Люсь
|
|
« Ответ #22 : 09-09-2010 04:07 » |
|
Не знаю, что можно определить по этим логам, но факт, что логи с буднего дня отличаются с логов за тот день, когда меня не было, лог раза в 3-4 больше обычного, изобилует ошибками в начале и в конце дня, т.е. я полагаю, это факт того, что пароль парни не знают, иначе лог был бы обычным... Будни Выходные Кстати, тут видно кусочек предыдущего дня, где активность была в 10 вечера - это тоже не могла быть я. При этом ошибок никаких нет. Может быть, просто включали комп на предмет просмотра каких-нибудь расшаренных папок. Активность была в течении 3 минут, комп был вырублен долгим удержанием "ресет"а на системнике. |
|
|
« Последнее редактирование: 09-09-2010 04:11 от Люсь »
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Люсь
|
|
« Ответ #23 : 09-09-2010 04:33 » |
|
Жалко, что в России сегодня выходной  У нас завтра выходной, значит, до понедельника ничо больше не смогу выяснить... |
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Алексей++
глобальный и пушистый
Глобальный модератор
Offline
Сообщений: 13
|
|
« Ответ #24 : 09-09-2010 04:52 » |
|
какой такой выходной ? Почему не знаю ? ))
|
|
|
|
|
Записан
|
|
|
|
|
Люсь
|
|
« Ответ #25 : 09-09-2010 04:58 » |
|
Нет? Сегодня у мусульман хаит, или как правильно. Почему-то думала, в России выходной, так как все молчат ) Как-то не подумала, что в России выходные только по христианским праздникам ))
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Алексей++
глобальный и пушистый
Глобальный модератор
Offline
Сообщений: 13
|
|
« Ответ #26 : 09-09-2010 05:08 » |
|
ну так то мы не против дополнительных праздников, но минздрав не разрешит ))
|
|
|
|
|
Записан
|
|
|
|
|
RXL
|
|
« Ответ #27 : 09-09-2010 05:26 » |
|
Люсь, из выходных по церковным праздникам у нас только Рождество (православное).
|
|
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
|
Люсь
|
|
« Ответ #28 : 09-09-2010 06:16 » |
|
Понятно )
Давайте по теме теперь! )
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Sla
|
|
« Ответ #29 : 09-09-2010 06:35 » |
|
Источник eventlog - говорит что когда была запущена служба и когда остановлена. Т.е. можно определить что комп включался и выключался в такое время.
Service Control Manager - сообщает о том какие службы запустились (не все)
В данном случае, наиболее интересно, что же это за ошибка в выходные?
можешь, стоя на левой панели Событий, нажать правую кнопку и сохранить как в csv или txt файл
а потом загнать в ексель и проанализировать. Файлик будет не маленький.
Еще интересны события от Приложений.
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
RXL
|
|
« Ответ #30 : 09-09-2010 06:40 » |
|
В разделе Безопасность в просмоторщике событий можно увидеть, когда и кто входи и выход с компа. Только там такая свалка...
|
|
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
|
Serg79
|
|
« Ответ #31 : 09-09-2010 07:04 » |
|
Но понимаете, я говорю про программку или про спец-пароль, которым они это делают. Потому что так регулярно происходит с компом, на котором работают сменщики и которые друг другу из пакости всё время ставят пароли и не сообщают эти пароли.
Люсь, нет никаких спец-паролей которые бы позволяли входить под твоей учеткой. |
|
|
|
|
Записан
|
|
|
|
|
zubr
Гость
|
|
« Ответ #32 : 09-09-2010 07:13 » |
|
Может стоять троян, который запускается от винлогона, (кроме авторана надо посмотреть что в реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows -> параметр AppInit_DLLs) логирует клавиши, инфу сбрасывает на другой комп по наличии сети и отключается. Поэтому вычислить его через процессы может быть проблематичным. Кстати, если он грамотно сделан, то и эвенты будет после себя подчищать.
|
|
|
|
|
Записан
|
|
|
|
|
Люсь
|
|
« Ответ #33 : 09-09-2010 08:57 » |
|
реестр:
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Люсь
|
|
« Ответ #34 : 09-09-2010 09:20 » |
|
Посмотри что у тебя в автозагрузке. Кстати, не стоит ли случайно у вас в организации система h**p://www.searchinform.ru/index.html или ей подобная?
В автозагрузке (Пуск) только Керио. Забыла, как/где ещё можно посмотреть? Подобной системы в организации нет. у sysinternals есть утилита autoruns.exe
посмотри что, где и как у тебя запускается в "автозагрузке"
Как это запустить? Где найти sysinternals? Если зараза, как найти источник и убить? Выбила из процессов - на работу никак не повлияло. По второй ссылке вся инфа не на русском и для меня не факт, что это зараза. В разделе Безопасность в просмоторщике событий можно увидеть, когда и кто входи и выход с компа. Только там такая свалка...
У меня тут совершенно пусто. Прикрепляю журнал событий и журнал приложений, может кто лучше разберётся? Хотя мне почитать первый раз в жизни это тоже любопытно, только я не уверена, что могу истолковать всё это правильно ))) |
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Алексей++
глобальный и пушистый
Глобальный модератор
Offline
Сообщений: 13
|
|
« Ответ #35 : 09-09-2010 09:25 » |
|
для начала с LiveCD какого-нибудь свежего проверить систему.
|
|
|
|
|
Записан
|
|
|
|
|
|
|
Люсь
|
|
« Ответ #37 : 09-09-2010 09:33 » |
|
Подозрительный ключ в винлогоне: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy Сохрани его в key-файл и выложи или сделай скриншот его развернутым.
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Люсь
|
|
« Ответ #38 : 09-09-2010 09:34 » |
|
Алексей1153++, нема такого.
NOD32 ничо не находит.
Есть Total Commander, может там есть какие-нибудь средства? Я пока не очень хорошо знаю, что есть у TCmd.
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Sla
|
|
« Ответ #39 : 09-09-2010 09:39 » |
|
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
Люсь
|
|
« Ответ #40 : 09-09-2010 09:43 » |
|
т.е.?
треба грохать?
или что?
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Люсь
|
|
« Ответ #41 : 09-09-2010 09:58 » |
|
до понедельника!
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Люсь
|
|
« Ответ #42 : 13-09-2010 03:35 » |
|
Почитав логи, я пришла к мнению, что система запускалась с установочного диска, с попыткой вызвать ошибку, с помощью которой и удалось проникнуть в систему. Я думаю, что перед отъездом отключу шлейф дисковода и опечатаю комп )
Спасибо всем за просвещение, хоть половину из всех вещей я так и не догнала )
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Люсь
|
|
« Ответ #43 : 03-11-2010 05:27 » |
|
Я с них фигею!
Сначала они видимо не могли понять, в чём дело, но по логам уже через 3 дня они наладили тут всё, создали какого-то Гостя (непонятно как), у Администратора пароль сменили, мой аккаунт в порядке. У дисковода шлейф подключен как ни в чем не бывало, при этом наклейка, опечатывающая корпус, цела и невредима. КАК???
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Алексей++
глобальный и пушистый
Глобальный модератор
Offline
Сообщений: 13
|
|
« Ответ #44 : 03-11-2010 05:30 » |
|
Люсь, не пора бы их административно наказывать ? Что-то распустила ты студентов |
|
|
|
|
Записан
|
|
|
|
|
Kivals
|
|
« Ответ #45 : 03-11-2010 05:42 » |
|
...при этом наклейка, опечатывающая корпус, цела и невредима. КАК???
Ну зависит от наклейки. Большинство можно аккуратно содрать и потом вернуть "взад". А вообще согласен с Алексей1153++ - это уже надо решать админ мерами... Если тебе конечно больше важен результат, а не понять КАК |
|
|
|
|
Записан
|
|
|
|
|
Люсь
|
|
« Ответ #46 : 03-11-2010 06:13 » |
|
Какие студенты??? Это на работе!
Наклейку, которая щас, просто так не обдерешь, сама скоко раз переклеивала их. Можно конечно промочить и снять, но тогда по бумажке было бы видно, что она побывала во влажном состоянии. Короч не знаю.
Админ.мерами тут ничего не решишь - какой начальник в отделе - такое и отношение...
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Алексей++
глобальный и пушистый
Глобальный модератор
Offline
Сообщений: 13
|
|
« Ответ #47 : 03-11-2010 06:26 » |
|
Люсь, студенты - это образно. Это даже школота, я бы сказал ) А мы в универе так баловались, ставили контру у доцента, потом сносили. Потом сносили наши головы Добавлено через 1 минуту и 33 секунды:Люсь, запирай винт в сейф, в конце то концов. Остальное пусть портят, там всё восполнимо ))
|
|
|
|
« Последнее редактирование: 03-11-2010 06:28 от Алексей1153 »
|
Записан
|
|
|
|
|
Люсь
|
|
« Ответ #48 : 03-11-2010 06:56 » |
|
Понятненько.
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Sla
|
|
« Ответ #49 : 03-11-2010 07:05 » |
|
Загрузочная флешка, загрузочный usb-девайс
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
Люсь
|
|
« Ответ #50 : 03-11-2010 07:34 » |
|
Мэй би, но дисковод то оказался тоже подключенным. Я даже комп сегодня не вскрывала, чтоб шлейф на место вернуть, просто попыталась воткнуть диск - а он читается!
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Sla
|
|
« Ответ #51 : 03-11-2010 07:45 » |
|
ты его бумажкой? а попробуй опечатать.
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
Люсь
|
|
« Ответ #52 : 03-11-2010 09:32 » |
|
в след. раз попробую
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
