[SkyF]

Dexil
для начала - сделать немедленно резервную копию вашего сервера - в этом случае можно будет потом достать журналы из нее и посмотреть.

Почему сразу не достать и не посмотреть? потому что сейчас никто не скажет ( я не смогу) какие из системных журналов могут понадобятся для анализа. и к тому же они имеют тенденцию перезаписывать старую информацию по кругу.

Хотя, это может и не помочь - хорошим тоном считается после взлома - удалять иформацию о предпринятых действиях атакующим (чистка жураналов).

ЗЫ посмотрите журнал безопасности системы - хотя с настройками аудита у Windows 2003 лучше чем с никаким ина 2000м, но что-то всеже может дать (если не очистили его - о чем он тоже будет иметь информацию).

[Greyman]

Не полная информация. Второй взломанный сервер был в "внтури" локалки или это "внешний" сервер, торщащий в Инете с фиксированным адресом.

По п.1:
1) Проверить, установлены ли все последнии критические патчи уязвимостей (у мелкомяхких есть соответствующая тулза) и, соответственно установить необходимые.
2) Глубокая проверка на уже установленные руткиты (такие тулзы тоже есть, поиск тебе поможет). Иначе без переустановки ты не можешь гарантировать отсутствие бэкдоров во взломанной системе (мониторинг дает только "пост-фактум" результаты, а тебе нужны привентивные меры).
3) Запрет на использование сервака в качестве АРМ (под аккаунтом любого уровня, а не только админа). Т.е. никакакого серфинга инета, чтения почты, аськи и т.п. непосредственно с консоли сервера (включая удаленнную).
4) Настройка МЭ на основной режим - блокировка. Необходимые для работы разрешения должы указываться дополнительно (желательно использование аппаратного МЭ, хотя бы с базовыми функциями обнаружения простейших атак).

По п.2.:
1) Даже если ты докажешь факт стороннего взлома, это снимет только уголовную ответвтвенность с организации. В случае, если та сторона заявит материальный ущерб, то органицации придется его оплатить, независимо от первоначального источника взлома. Т. е. с юридической точки зрения вы виноваты в недостаточности принимаемых мер защиты, повлекшей за собой материальные потери сторонней организации. Т. о. материальный ущерб, выплачиваемой второй стороне, вы сможете возместить только найдя главного виновника и, в свою очередь, включить ему в судебный иск материальный ущерб, выплаченный гос. учереждени. Здесь, конечно, большую роль будут играть адвокаты, прокуроры и судьи, но по юридически д. б. именно так (если считать, что абсолютно все учавствующие в судебном разбирательстве будут придерживаться закона).
2) Журналы действительно могли бы помочь, однако большая вероятность их корректировки в результате взлома. В этом случае пригодился бы задействованный пассивный аудит системы (когда системные журналы сбрасываются на некий ресурс, не доступный для редактирования с журналируемой системы).
3) Журналы могут помоч тебе только для поиска источников влома и его инициатора. В судебном разбирательстве силу имеют только логи провайдера (частично здесь играет роль установливаемой у них оборудование СОРМ). Т. ч. если тебе удасться обнаружить время и источник взлома, то останеться договориться с провайдером о предоставлении логов (по запросу суда он все равно их может редставить, но в каком объеме - ужа будет зависить от него).
4) Попробуй примерно определить возможные сроки осуществленного взлома и договориться с провайдером о поиске в его журналах подозрительной активности в твой адрес. Бесплатно, скорее всего, он этим заниматься не будет, но если есть хорошие отношения с его сотрудниками, то это может пригодиться.

[Andrik]

1) Проверь сканером уязвимостей типа X-Spiderб он тебе и подскажет что да куда доустановить.
2) Как и что в суде доказывать - не знаю, никогда не занимался.

Взломанный сервер -это "внешний" сервер, торщащий в Инете с фиксированным адресом. Последующий мой анализ показывает, что переустановка неизбежна... А именно. Под админом теперь невозможно выполнять элементарные вещи, такие как, управление службами, журналами и пр.., т.е. например ни в одном окошке нет возможности снять/поставить галки (свойства просто напросто неактивны). Невозможно установить любой новый софт, выдается фатальная ошибка выполнения setup-файлов.
Впрочем сам сервер работоспособен. Сейчас установлен аппаратный фаервол (МЭ) Dlink серии DFL. Анивирусное ПО не выявило ничего подозрительного.
Есть логи с точными данными по дате, времени взлома, но они бесполезны, т.к. засвечен АйПишник анонимной прокси из USA. Видимо использовалась цепочка прокси.
По п.2. Единственное - это доказывать, что совершенное было "неумышленными действиями". Логи нашего сервера в рассмотрение браться не могут, т.к. их можно сляпать за 10 минут.

[SkyF]

Цитата:

Есть логи с точными данными по дате, времени взлома, но они бесполезны, т.к. засвечен АйПишник анонимной прокси

А кстати, что за журналы вам эти данные выдали? Неуж-то системный журнал безопасности только?