Перейти к содержимому
Local
СИОН

Взломали сеть.

Рекомендованные сообщения

Доброго времени суток коллеги.

Такая проблема случилось...

Взломали сеть - положили биллинг и микротик основной. 

Также сдохло железо (программно) все что касается оборудования микротик и юбикюти. 

Восстанавливаем уже третьи сутки.

 

Вопрос:

Как дальше обезопасить сеть? Какое железо и ПО преобрести чтобы упредить данные неприятные инсинуации.

Офтоп... просьба не поддергивать и не писать нелепые сообщения, попросту помочь советом.

Заранее спасибо.

Изменено пользователем СИОН

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кудой прошли уже знаете ?

 

5 минут назад, СИОН сказал:

Как дальше обезопасить сеть? Какое железо и ПО преобрести чтобы упредить данные неприятные инсинуации.

В большинстве случаев достаточно прямых рук и головы с мозгами.

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
28 минут назад, Matou сказал:

Кудой прошли уже знаете ?

 

В большинстве случаев достаточно прямых рук и головы с мозгами.

Это логично... 

Что можете вы посоветовать по существу? 

Заранее спасибо за ответ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
11 минут назад, СИОН сказал:

Какое железо и ПО преобрести

У вас есть финансы на поистину вменяемые файерволы аппаратные или программные ? Вперед и с песней.:D

А если нет, тогда надо строить из того что есть. Но для этого надо хотя бы мало-мальски проанализировать ваш взлом, уже состоявшийся. Найдете причину и вперед с песней :D Чтобы поймать хакера надо думать как хакер B) От вас как ломанули - небось винбокс открыт на наружу ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, Matou сказал:

У вас есть финансы на поистину вменяемые файерволы аппаратные или программные ? Вперед и с песней.:D

А если нет, тогда надо строить из того что есть. Но для этого надо хотя бы мало-мальски проанализировать ваш взлом, уже состоявшийся. Найдете причину и вперед с песней :D Чтобы поймать хакера надо думать как хакер B) От вас как ломанули - небось винбокс открыт на наружу ?

Что про...л то про...л. было что winbox работал извне

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот вам и первое. Биллинг на какой машине крутится ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, Matou сказал:

Вот вам и первое. Биллинг на какой машине крутится ?

Фря

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доступ по ssh хоть был снаружи закрыт ? Или был банальный проброс портов ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, Matou сказал:

Доступ по ssh хоть был снаружи закрыт ? Или был банальный проброс портов ?

 

Биллинг в инет не смотрит. Юзера работают с ним только с нашей сети

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
8 минут назад, WideAreaNetwork сказал:

У нас доступ по ссш на фре открыт) правда порт не дефолтный

Бытует мнение, что это до фени хацкерам. Ибо при определенных запросах на открытый порт получаешь определенный ответ, по которому вычисляешь что за сервис там крутится.

 

6 минут назад, СИОН сказал:

Биллинг в инет не смотрит. Юзера работают с ним только с нашей сети

 

Биллинг ламонули как ? Замена файлов ? Смена конфигурации ? Удаление информации ?

Здеся много вариантов. От восстанавливая все это и думайте как так вышло, что ломанули.

Изменено пользователем Matou

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

где территориально находитесь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, F-u сказал:

где территориально находитесь?

Эта информация не обязательна.

11 минут назад, Matou сказал:

Бытует мнение, что это до фени хацкерам. Ибо при определенных запросах на открытый порт получаешь определенный ответ, по которому вычисляешь что за сервис там крутится.

 

 

Биллинг ламонули как ? Замена файлов ? Смена конфигурации ? Удаление информации ?

Здеся много вариантов. От восстанавливая все это и думайте как так вышло, что ломанули.

Затерли раздел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

:(

Изменено пользователем fotonik

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если доступ по ssh только говорите с внешней сети, то ищите еще машины ломаные. Ну или это ваши абоны постарались. Вариантов, повторюсь, много. Только детальный анализ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Логи остались ? Читали их

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

может кто из знакомых/бывших сотрудников, который знал ваш пароль (который был один на все? правда?) или на микротике пароль был такой же, как на все остальное

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

культура безопастности никто не отменял

1. менеджер влан хоть есть? 

2. пароль пользователя и  root разные? а не 123456 пользователя, а рута 123456 ??? 

3. доступ к серверов только с определенных ай-пи адресов делали?  так же и у микротика 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, СИОН сказал:

Как дальше обезопасить сеть? Какое железо и ПО преобрести чтобы упредить данные неприятные инсинуации.

 

Это тянет на 4к$ без учета хадрваре или софрваре. Готовы заплатить или ищете "бесплатной" помощи?

Анализ взлома и защиты стоит не малые... А если хотите защитить - может стоять еще больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут недавно писалось, что у микрота были дыры в безопасности,  вроде как раз связанные с winbox.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Микрот микротом. Но фря. Локальных эксплойтов под свежую фрю давно не выходило. Ремотных тем более. Значит знали пароль, или спиздили пароль или подвесили автору кейлогер на машину. Или древняя фря с qpop стоит :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
17 минут назад, Kto To сказал:

Микрот микротом. Но фря. Локальных эксплойтов под свежую фрю давно не выходило. Ремотных тем более. Значит знали пароль, или спиздили пароль или подвесили автору кейлогер на машину. Или древняя фря с qpop стоит :D

все может быть - ТС толком не говорит, как взломали и сам ничего не может понять, через что был взломан.

но как минимум бекапы нужно делать: конфигов микрота, ситемы (фри ), самого биллинга (ежедневно)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Router OS 5.26 крякнутая х86 небось))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

это Короля хакнули…
все кому Король принес убытки и попортил нервы - смотрите как работает карма

  • Like 3

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще странно, что бы ломанули фрю с биллингом (просто так). Надо знать, как ломанули, что бы предпринимать какие-то специальные меры.

 

Помню, еще в 90-х, когда у меня на разных там мероприятиях спрашивали, как взламывают компьютерные сети, я отвечал, что в 90% так же, как и банки - при помощи наводчиков и крыс. :)

Изменено пользователем vop

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: pavlabor
      В 2019 году продолжаются DDoS-атаки с использованием протокола LDAP: в этот раз на сайт Qiwi
      В четверг, 24 января, мы наблюдали атаку 212,5 Gbps (гигабит в секунду) / ~10 Mpps (миллионов пакетов в секунду) в пике, комбинировавшую векторы старого доброго SYN-флуда и достаточно редкой LDAP-амплификации с фрагментами.

    • Автор: halchyshak.r
      Потрібен канал в 100мбіт гарантовано , можливо 2 провайдера. Юридичний клієнт!
      Житомирська обл., Малинський  р-н, м. Малин, вул. Огієнка, 55
      Івано-Франківська обл, Городенківський р-н,    м. Городенка, вул. Героїв Євромайдану, 5
      Івано-Франківська обл., Долинський р-н,    с. Мала Тур'я, вул. Полуванки,100
      Хмельницька обл., м. Славута, вул. Здоров’я, 11
    • Автор: Toxxxa
      Добрый день!
      Имеется завод с неуправляемой сетью портов на 200. Какое-то время вместо сгоревших неуправляемых свичей закупали управляемые TP-Link  2 уровня, но ставили их не настраивая.
      Стал вопрос использовать имеющийся функционал свичей о назначению. В сети есть сервера для работы, файловые сервера, сервера БД, сервера видеонаблюдения.
      Поскольку видеонаблюдением пользуются не много пользователей, хочется отрезать все видеосервера в отдельный VLAN (назовем VLAN 20). Но те компьютеры, которые подключаются к серверам видеонаблюдения, так же должны и иметь доступ к "рабочей локальной" сети (назовем ее VLAN 10).
      Есть ли возможность назначить одному access порту 2 VLANa?
      Коммутаторы Tp-Link T2600G-28TS 

    • Автор: antiddos
      Уважаемые господа!
       
       
       
      Предлагаем Вашему вниманию сервис по защите от DDoS атак для ваших сайтов, серверов, сетей.
       
      Наша компания на рынке более 10 лет. 
      Мы представляем собой распределенную CDN с центрами фильтрации в Украине, Польше и Нидерландах.
      Наши решения построено на оборудовании Radware, Brocade, Juniper и позволяют фильтровать большие обьемы трафика. Мы работаем с любыми атаками включая L2-L7.
       
      Приглашаем к участию в партнерскую программу интеграторов и администраторов сетей, в которой вы будете получать гарантированное вознаграждение за привличенных клиентов. (условия вас приятно удивят!)
       
      Для всех желающих можем предоставить тестовую защиту на сутки. 
       
      Кроме того, для всех наших клиентов мы предоставляем услугу High Load consulting абсолютно бесплатно, как и администрирование выделенного сервера.
       
      Стоимость услуг для украинских пользователей:
      - Удаленная защита сайта без переноса контента на нашу площадку от 1000грн
      - Хостинг с защитой от DDoS от 1350грн
      - Виртуальный выделенный сервер с защитой от DDoS от 3000грн
      - Выделенный сервер с защитой от DDoS от 4000грн.
       
      Будем рады видеть Вас в числе наших клиентов. 
       
      Контакты:
      www.hi-load.biz (на сайте есть online chat)
      +48 518 759 968 (Telegram, Viber)
      +380 68 420 0111
      +380 95 420 0111
       
       
       
       

    • Автор: IRSID
      Если модераторы и тов Осипенко не против - я бы хотел вынести поднятый ТС вопрос о возможности создания не прибыльной сети Интернета...
      Например, садовое общество(как не прибыльная организация), или сельсовет (создание не прибыльного коммунального предприятия связи для обеспечения односельчан услугами интернета)
       
      Дествительно ли в таком случае нужны лицензии? и какие? и действительно ли нужны дозволы на БС или все таки технолинки....
×