Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Взлом и защита » Уязвимости
Страницы: 1
RSS
Перехват паролей
 
#1
Это нравится:0Да/0Нет
03.07.2007 11:32:27
Добрый день! Ситуация следующая. Компания использует технологию PPPoE для интернета. Пользователи авторизируются на радиус-сервере (логин, пароль) и получают доступ в инет. При изучении статистики выяснелося, что один пользователь использует чужие логины для выхода в инет. Вычислили его по мак-адресу и точке доступа. Кто это, вычислить не составляет труда, но интересует как ему это удалось сделать. Какие проги можно использовать? Если это троян, то как узнать куда он сливал инфу? Что это за троян? Как его вычислить и прибить...
 
 
 
#2
Это нравится:0Да/0Нет
03.07.2007 12:14:00
Цитата
Кто это, вычислить не составляет труда, но интересует как ему это удалось сделать.
Придите к этому пользователю и устройте форсированный допрос с применением спецсредств.
TCPview, netstat, утилиты Марка Руссиновича, на худой конец паяльник и скотч :D
Цитата
Компания использует технологию PPPoE для интернета.
Ваша компания является провайдером? Или у вас доступ черз PPPoE? И поподробнее о методе выпуска в интернет пользователей. Есть ли прокси-сервера или файерволы?
Цитата
использует чужие логины для выхода в инет.
Количество чужих логинов использовавшихся для доступа в интернет? Если пара-другая, подсмотрел или подобрал. Если много, то у вас завелся хакер-самоучка, см. пункт 1
 
 
 
#3
Это нравится:0Да/0Нет
03.07.2007 14:11:17
Цитата
Mr.Y пишет:
Если много, то у вас завелся хакер-самоучка, см. пункт 1
Много. Но комп его уже в надежных руках, и вряд ли скажут что и как.
Цитата
Mr.Y пишет:
Ваша компания является провайдером? Или у вас доступ черз PPPoE? И поподробнее о методе выпуска в интернет пользователей. Есть ли прокси-сервера или файерволы?
Пользователи подключаются по PPPoE с сервером PPPoE. На радиусе они авторизируются, каждому назначается виртуальный интерфейс и все... Прокси и файерволов как таковых нет, используются списки доступа на активном оборудовании.
Врядли нам скажут какой прогой он пользывался, а узнать процесс и предотвратить дальнейшее ее испльзование хотелось бы.
 
 
 
#4
Это нравится:0Да/0Нет
03.07.2007 18:05:33
сниффер?
 
 
 
#5
Это нравится:0Да/0Нет
04.07.2007 10:15:11
Не похоже это на сниффер. Украденые пароли были из разных точек доступа, а сниффер можно использовать только в пределах его точки доступа.
 
 
 
#6
Это нравится:0Да/0Нет
04.07.2007 11:40:01
А может, он получил доступ к вашей БД?
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
 
 
#7
Это нравится:0Да/0Нет
04.07.2007 12:37:14
Врядли. У него мозгофф не хватило бы. Он даже не стеснялся тратить деньги со счета жертвы до нуля, и не один раз. Думал что его не видят. Но до базы не добрался бы. Там ограничен путь и доступ к серверу не одним списком доступа на активном оборудовании.
 
 
 
#8
Это нравится:0Да/0Нет
04.07.2007 17:47:14
Вот теория. Утилиты у Гугла.

> Не похоже это на сниффер. Украденые пароли были из разных точек доступа, а сниффер можно использовать только в пределах его точки доступа.

Что за "точки доступа"? Это что, wifi?
 
 
 
#9
Это нравится:0Да/0Нет
05.07.2007 08:49:02
Точка доступа для нас это коммутатор, к которому подключен пользователь. Он управляемый и изалирован от остальных (vtp domen, vlan)
 
 
 
Страницы: 1
Читают тему