Как меня взломали (длиннопост) (ОСТОРОЖНО, может случиться и с ВАМИ!)⁠⁠

Это случилось буквально несколько минут назад...

Начну немного издалека. Работаю я сисадмином в компании, которая считается одной из самых крупных дистрибьюторских сетей в Украине. Это моя самая ответственная работа в сисадминстве, до этого обслуживал мелкие ЧПшки. Варюсь в этом уже добрых 5 лет.

Чего-то да шарю, нашему директору всё нравиться. Ну параллельно самообучаюсь профессионально. Также учу Java, но это уже лирика. К основному...

Так как работаю в очень крупной сети, о безопасности мы заботимся будь-здоров! Смена стандартных портов, блок всего чего не надобно на фаерволе (он же и шлюз), четкое разграничение прав и доступов и тд и тп. Не буду долго разглагольствовать. Кто знает тот поймёт, а остальным и нафиг не впало.

Но как всегда "сапожник без сапог".

Дома у меня скромная "машинка", в основном использую её как файлопомойку, просмотр фильмов да и всё пожалуй. На работе компы настолько надоедают, что дома и видеть его не хочется. Понятное дело личные фото. Но основным достояние считаю у себя на компе - это отдельный HDD на 1 ТБ с разными программами-шняжками. Я думаю у каждого сисадмина акое есть, уж любим мы коллекционировать всякие рабочие програмульки. Считайте наш фетиш. Начиная от разных ОС (только винды у меня около 30 разных версий), фотошопов в 10 разных редакциях, кучей тестировщиков и заканчивая ломаными версиями 1С на любой вкус. Ооочень редко пользуюсь этим набором, но мало ли, должно быть =)

Долго рассусоливал, собственно, сама история:

Подхожу я к любимому компу и вижу, что что-то тут не так, немного порывшись, понимаю, что другой пользователь сидит на моём компе в rdp-сеансе.

Небольшое отступление:

Remote Desktop Protocol — это протокол, позволяющий получать доступ к удаленным компьютерам без непосредственного контакта с ними. Пользователь сможет видеть все файлы, запускать приложения и выполнять все остальные задачи, как будто находясь в непосредственной близости от своего компьютера. Скорость работы через этот протокол зависит только от скорости интернет-соединения.

Продолжим...зачем он мне и нафига я его сделал? Расскажу. Комп у меня постояно включен, а бывает что идёшь куда-то, и тебе вот нужно человеку Иллюстратор поставить. Искать и качать торренты - долго, да и сборок разных куча. А вот у тебя, на компе, в загашнике лежит уже нужная версия, да ещё и устанавливается легко и точно работает. Короче подключаешься к себе домой и качаешь, что надо. Или, например, забыл ты важный отчёт, который, какого то хера, ты делал дома, скинуть на флешку, а через 10 мин надо перед шефом отчитаться...и ты просто подключаешься к своему компьютеру и достаёшь нужный тебе файл. Короче удобно. Но я простофиля, который думал "да кому я нахер нужен, чтобы меня ломали" использовал стандартный порт для rdp-соединений в мир, да и с пользователем замораиваться не стал. Сделал логин "test" и пароль "1", чтобы с телефона удобно было заходить. Хорошо, что хоть сильно порубил ему немного права.

Но продолжение истории...я конечно отрубаю его, сразу же меняю пароль на основном своём профиле, сношу профиль "test" и начинаю искать ублюдка. Но он пытается снова подключиться. Наглый, блин. Ниже скрин его учётки:

Я отклоняю, на своём шлюзе (у меня стоит дома Mikrotik) рублю все порты, до того как я разберусь со всем.

После, нахожу у себя 2 папки (сейчас я их поместил в одно, для удобства) и 2 файла.

Ухмыльнулся с названия папок и понял, что "ломал" меня просто новичок, который решил немного похулиганить. Но названию первой папки понятно что внутри. Комбайн по добыче дедиков. Сканирует диапазоны, подбирает пароли. Фишка в том, что список логинов не нужен - софт их определяет сам на найденных серверах, что увеличивает КПД в разы. Внутри второй папки:

Первая, программа для брутфорса паролей из заданного диапазона, вторая список пулов IP адресов по области или городу, третья довольно неплохой сканер ip на открытые порты. Файлы "BAZA" это мощная фигня:

Внутри миллионы связок логин-пароль к почтам. Внутри:

Этого хлама полно, стоит только вспомнить сколько их сливалось в сеть и это становилось новостями.

Естественно после этого я перенастроил свой шлюз, поменял настройки фаервола, сменил все пароли. Хз что ему нужно было, походу просто игрался чувак. Ну и наконец покажу его по "телеку" Ниже его ИП и имя компьютера (вот с него я реально долго ржал). Видно что чувак новичок. А также инфа с 2ip

В конце хочу сказать, заботьтесь о своей безопасности. Я вот так ппц как оплашал, думая "кому я нафиг нужен".

P.S. Не пинайте за стиль и ошибки, мой первый длиннопост и второй пост на пикабу.

Комменты для минусов будут внутри.

Если кому интересно, могу писать об интересных случаях в практике админа. Их накопилось уж очень много. Пишите в комментариях.

Тут буду отвечать на вопросы, которые всплывают у людей:

Вопрос: Почему не ограничить на микротике доступ к портам только с определенных диапазонов?( рабочий айпишник)?

Ответ: На счёт рабочего да, но часто захожу, например, с телефона. Когда в командировке или в полях. Тут динамика через моб. оператора. Можно конечно заморочиться и всё добро это сделать через VPN. Что в дальнейшем очень возможно.

Вопрос: Неужели для того, чтобы стянуть что-либо с домашнего компа, рдп - наилучший вариант?

Не критика, просто интересно..

Ответ: В моём случае да. Как пример: делаешь отчёт, сохраняешь временно на самом видном месте, например на рабочем столе. Вот как его достать. Делать FTP? Но на весь то комп не сделаешь доступ, да и глупо. Поэтому, в моём случае, для меня, реально удобнее rdp.