-4

Я работаю с компьютерами с 1972 года. Начали с телетайпов, пошли требовать терминалы, мейнфреймы, мини, микро, суперкомпьютеры - там было сделано это. Иметь жену, которая любит играть в онлайн-игры, Limewire и т.д. Она получает нам вирусы, вредоносные программы и все остальное. Поговорил с ней - она все еще делает это. Я также использую веб-сервер, почтовый сервер, FTP-сервер, и на нас ежедневно нападают различные стороны. Один из них прошел, или моя жена загрузила что-то, что позволило этому случиться. Это моя справочная информация.

Сначала я понял, что что-то не так, когда заметил, что наш маршрутизатор передает файлы как сумасшедшие. Я сразу выключил роутер. После полной проверки систем я обнаружил следующие странные вещи:

  1. TCPView был удален из всех систем.
  2. Обмен файлами был восстановлен (я отключил его).
  3. Совместное использование файлов было включено (я также отключил это).

Кроме вышесказанного - я не смог найти никаких дополнительных учетных записей, групп, местоположений, разделов, вирусов, вредоносных программ - ничего не объяснил, почему и как это происходило.

Я пошел на majorgeeks.com, и мы просмотрели все, что нужно для удаления вредоносных программ - вредоносных программ не обнаружено.

У меня есть пять оконных коробок. Это сервер, графика, разработка, жена и телевидение. Были затронуты только Wife, Development, Graphics и Server. После сброса общего доступа к файлам и автономным файлам компьютер моей жены и мой компьютер теперь работают нормально. Я также восстановил ОС до резервной версии несколько недель назад.

Графический компьютер должен будет переустановить ОС, потому что по неизвестным причинам резервная копия системы не содержит ОС. Сервер больше не будет подключаться к Интернету, если я не подключу его к резервному внешнему USB-накопителю, а затем попытается отправить информацию через Интернет в какое-то неизвестное место и восстановит параметры общего доступа к файлам и автономных файлов.

Однажды мне удалось войти в локальные политики безопасности и посмотреть, для кого я отказываю в входе в систему, и появилось новое местоположение под названием MININT. Это исчезло, и я не могу заставить его вернуться так далеко.

Я не хочу просто переустанавливать ОС, потому что я хочу выяснить, кто это сделал, и лучший способ сделать это - выяснить, что они сделали, и отменить это. Тем не менее, мы не можем получить электронную почту, пока я не решу проблему. Поэтому мне, возможно, придется просто переустановить ОС.

Этим утром, после публикации обновления на majorgeeks.com, я пошел посмотреть, что происходит в сети, и обнаружил, что TCPView снова был удален. Так что в моей Системе разработчика что-то есть. Поэтому мне, возможно, придется переустановить ОС, чтобы избавиться от проблем.

Есть идеи, что может происходить? (Кроме того, что хакер установил что-то в мою систему, и никто не может понять, что это за «что-то»?)

|источник

1 ответ1

3

Я действительно не знаю, с чего начать.

Что с паранойей? ОП полон решимости найти доказательства "хакеров" в своих компьютерах, несмотря на подавляющее количество доказательств обратного.

Давайте разберемся с этим:

Сетевой трафик на этом маршрутизаторе был совершенно нормальным.

К роутеру подключено 5 систем. С точки зрения фоновой сетевой активности они могли загружать обновления Windows, обновления приложений, обновления антивирусных баз или, возможно, жена ОП работала с Limewire/ потоковым радио в фоновом режиме. С точки зрения другой сетевой активности: жена могла использовать Netflix, передавать потоковое видео или вообще все, что вы можете делать в Интернете.

Теперь мы никогда не узнаем. "Подозрительная" сетевая активность больше не происходит, и системы были стерты.

А как насчет БЕСПРОВОДНОЙ? В вопросе нет упоминания о том, что ФП исключил это.

ФП делает дикие предположения и рассматривает их как факт.

Сетевая активность не обязательно означает, что файлы передаются как сумасшедшие. Не зная, что это была за сетевая активность, как вы можете сказать, что именно она связана с передачей файлов? Есть много вещей, которые вы можете сделать с помощью интернет-соединения, которые не являются передачей файлов.

Вот что должен был сделать ОП, если он хотел отследить эту деятельность:

  • спокойно, не волнуясь и не отключая устройства, посмотрите, какие индикаторы активности на маршрутизаторе активны. Запишите, какие порты взаимодействуют. Это скажет вам, какие компьютеры задействованы, и является основным первым шагом в отслеживании сетевой активности. Основные вещи - посмотрите на красивые мерцающие огни.

  • Следующий шаг: перейдите к компьютеру, с которым осуществляется обмен данными, откройте диспетчер задач и посмотрите на вкладке "Сеть", сколько данных действительно передается (отображается в процентах от максимальной пропускной способности сетевой карты). Это быстро и грязно, но дает вам хороший обзор того, что происходит в считанные секунды. Теперь вы действительно начинаете понимать, что происходит: вы будете знать, какой компьютер задействован, и приблизительно, сколько данных передается.

  • Следующим шагом будет посмотреть, что это за данные на самом деле и откуда они идут / откуда: запустите "netstat -a" в командной строке и проверьте вывод. Это позволило бы кому-то ответить на вопрос ОП (если бы он сам не мог интерпретировать эту информацию)

Если бы ОП сделал это, он мог бы разгадать эту маленькую загадку за 10-15 минут.

Вместо этого он взбесился, отключил сеть, вытер систему, у которой не было функционального образа системы для восстановления, и перевел свой почтовый сервер в автономный режим. Не говоря уже о прерывании самой сетевой активности, которую он хотел идентифицировать, и устранении любых шансов найти свидетельство проблемы, стирая системы.

Итак, в итоге:

Если кто-то еще замечает какую-либо необычную сетевую активность в своей сети - сделайте прямо противоположное этому парню, и у вас все будет хорошо.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .