Как меня взломали (длиннопост) (ОСТОРОЖНО, может случиться и с ВАМИ!)
Это случилось буквально несколько минут назад...
Начну немного издалека. Работаю я сисадмином в компании, которая считается одной из самых крупных дистрибьюторских сетей в Украине. Это моя самая ответственная работа в сисадминстве, до этого обслуживал мелкие ЧПшки. Варюсь в этом уже добрых 5 лет.
Чего-то да шарю, нашему директору всё нравиться. Ну параллельно самообучаюсь профессионально. Также учу Java, но это уже лирика. К основному...
Так как работаю в очень крупной сети, о безопасности мы заботимся будь-здоров! Смена стандартных портов, блок всего чего не надобно на фаерволе (он же и шлюз), четкое разграничение прав и доступов и тд и тп. Не буду долго разглагольствовать. Кто знает тот поймёт, а остальным и нафиг не впало.
Но как всегда "сапожник без сапог".
Дома у меня скромная "машинка", в основном использую её как файлопомойку, просмотр фильмов да и всё пожалуй. На работе компы настолько надоедают, что дома и видеть его не хочется. Понятное дело личные фото. Но основным достояние считаю у себя на компе - это отдельный HDD на 1 ТБ с разными программами-шняжками. Я думаю у каждого сисадмина акое есть, уж любим мы коллекционировать всякие рабочие програмульки. Считайте наш фетиш. Начиная от разных ОС (только винды у меня около 30 разных версий), фотошопов в 10 разных редакциях, кучей тестировщиков и заканчивая ломаными версиями 1С на любой вкус. Ооочень редко пользуюсь этим набором, но мало ли, должно быть =)
Долго рассусоливал, собственно, сама история:
Подхожу я к любимому компу и вижу, что что-то тут не так, немного порывшись, понимаю, что другой пользователь сидит на моём компе в rdp-сеансе.
Небольшое отступление:
Remote Desktop Protocol — это протокол, позволяющий получать доступ к удаленным компьютерам без непосредственного контакта с ними. Пользователь сможет видеть все файлы, запускать приложения и выполнять все остальные задачи, как будто находясь в непосредственной близости от своего компьютера. Скорость работы через этот протокол зависит только от скорости интернет-соединения.
Продолжим...зачем он мне и нафига я его сделал? Расскажу. Комп у меня постояно включен, а бывает что идёшь куда-то, и тебе вот нужно человеку Иллюстратор поставить. Искать и качать торренты - долго, да и сборок разных куча. А вот у тебя, на компе, в загашнике лежит уже нужная версия, да ещё и устанавливается легко и точно работает. Короче подключаешься к себе домой и качаешь, что надо. Или, например, забыл ты важный отчёт, который, какого то хера, ты делал дома, скинуть на флешку, а через 10 мин надо перед шефом отчитаться...и ты просто подключаешься к своему компьютеру и достаёшь нужный тебе файл. Короче удобно. Но я простофиля, который думал "да кому я нахер нужен, чтобы меня ломали" использовал стандартный порт для rdp-соединений в мир, да и с пользователем замораиваться не стал. Сделал логин "test" и пароль "1", чтобы с телефона удобно было заходить. Хорошо, что хоть сильно порубил ему немного права.
Но продолжение истории...я конечно отрубаю его, сразу же меняю пароль на основном своём профиле, сношу профиль "test" и начинаю искать ублюдка. Но он пытается снова подключиться. Наглый, блин. Ниже скрин его учётки:
Я отклоняю, на своём шлюзе (у меня стоит дома Mikrotik) рублю все порты, до того как я разберусь со всем.
После, нахожу у себя 2 папки (сейчас я их поместил в одно, для удобства) и 2 файла.
Ухмыльнулся с названия папок и понял, что "ломал" меня просто новичок, который решил немного похулиганить. Но названию первой папки понятно что внутри. Комбайн по добыче дедиков. Сканирует диапазоны, подбирает пароли. Фишка в том, что список логинов не нужен - софт их определяет сам на найденных серверах, что увеличивает КПД в разы. Внутри второй папки:
Первая, программа для брутфорса паролей из заданного диапазона, вторая список пулов IP адресов по области или городу, третья довольно неплохой сканер ip на открытые порты. Файлы "BAZA" это мощная фигня:
Внутри миллионы связок логин-пароль к почтам. Внутри:
Этого хлама полно, стоит только вспомнить сколько их сливалось в сеть и это становилось новостями.
Естественно после этого я перенастроил свой шлюз, поменял настройки фаервола, сменил все пароли. Хз что ему нужно было, походу просто игрался чувак. Ну и наконец покажу его по "телеку" Ниже его ИП и имя компьютера (вот с него я реально долго ржал). Видно что чувак новичок. А также инфа с 2ip
В конце хочу сказать, заботьтесь о своей безопасности. Я вот так ппц как оплашал, думая "кому я нафиг нужен".
P.S. Не пинайте за стиль и ошибки, мой первый длиннопост и второй пост на пикабу.
Комменты для минусов будут внутри.
Если кому интересно, могу писать об интересных случаях в практике админа. Их накопилось уж очень много. Пишите в комментариях.
Тут буду отвечать на вопросы, которые всплывают у людей:
Вопрос: Почему не ограничить на микротике доступ к портам только с определенных диапазонов?( рабочий айпишник)?
Ответ: На счёт рабочего да, но часто захожу, например, с телефона. Когда в командировке или в полях. Тут динамика через моб. оператора. Можно конечно заморочиться и всё добро это сделать через VPN. Что в дальнейшем очень возможно.
Вопрос: Неужели для того, чтобы стянуть что-либо с домашнего компа, рдп - наилучший вариант?
Не критика, просто интересно..
Ответ: В моём случае да. Как пример: делаешь отчёт, сохраняешь временно на самом видном месте, например на рабочем столе. Вот как его достать. Делать FTP? Но на весь то комп не сделаешь доступ, да и глупо. Поэтому, в моём случае, для меня, реально удобнее rdp.
RDP наружу, VPN - это "заморачиваться", ещё и пароль такой, что брутом подбирается. Уходи из профессии, ты там не нужен.
На днях была похожая ситуация, антивирь прибил кучу Mail.ru-шных какашек (привет бухгалтерии), и я начал искать виновника, как наткнулся в журналах системы на целый вагон событий по коду 1012 (неудачная попытка входа по терминалу), смена порта RDP решила проблему. Выходит "подарки" от Mail.ru-шников стали еще опаснее.
Взлом - это, конечно, громко сказано.
Вообще я не сисадмин и не погромист, а обычный скромный пекаюзер, но дважды бы подумал перед тем, как вообще любым портом из домашней сети наружу светить.
teamviewer как альтернатива?