[Greyman]

Цитата Local Admin:

Подскажите пожалуйста прогу, которая может помочь определить IP адрес человека, который общается со мной по ICQ или меранде. »

Есть сетевые сервисы, определяющие текущий IP по UIN, например здесь:
http://www.leader.ru/secure/

И не стоит перегружать топик вопросами разной категории, это затрудняет его понимание и только уменьшает его полезность. Прошу прекратить дальнейший оффтопик!

[Local Admin]

Greyman, madmax24,
Спасибо вам большое!

[Ghost Shadow]

Любой альтернативный клиент в руки, или выкинь наконец icq 2003 и icq lite 4, все последующие версии ip не светят.

[Dinka]

в локальной сети кто-то повадился пароль админа на сервере брутфорсить.
в просмотре событий ничего не написано о злоумышленнике. win 2k3
какой программой можно выявить IP запустившего бутфорс?

[Pili]

Dinka, snort или wipfw в режиме логирования (можно и фильтрации по портам - разрешить только нужное)

[wertyg]

откуда инфа. или злодей сам позвонил и сказал что брутит. с чего взяла что данное действие имеет место?

подробности давай.

[Dinka]

Event Type: Warning
Event Source: MSFTPSVC
Event Category: None
Event ID: 100
Date: 15.04.2008
Time: 8:35:40
User: N/A
Computer: FS1
Description:
The server was unable to logon the Windows NT account 'brett' due to the following error: Logon failure: unknown user name or bad password. The data is the error code.
'''
The server was unable to logon the Windows NT account 'alex' due to the following error: Logon failure: unknown user name or bad password. The data is the error code.
'''
The server was unable to logon the Windows NT account 'aron' due to the following error: Logon failure: unknown user name or bad password. The data is the error code.
'''
The server was unable to logon the Windows NT account 'webadmin' due to the following error: Logon failure: unknown user name or bad password. The data is the error code.
'''
подбор паролей чаще идет ночью. примерно 40 запросов в минуту. это сервер и туда нет возможности поставить фаервол.

[Pili]

Dinka, snort не firewall, wipfw можно настроить не в режиме firewall, а только для логирования по определенным портам, далее сравниваете по времени логи wipfw и журнал безопасносности и выявляете ip
пример правила для wipfw

Код:

add allow log tcp from any to me 137-139,445
add allow all from any to any

логи wipfw см. в %WINDIR%\security\logs\

[hasherfrog]

Я бы поставил Ethereal Network Analyzer с сайта http://www.ethereal.com
Включил на прослушку всех портов
Попробовал бы зайти с какой-нибудь машины
Отключил прослушку
Проанализировал бы лог на ключевые слова, характерные для запроса аутентификации
Настроил бы фильтр согласно ключевым словам в Ethereal
Протестировал бы фильтр (включил/залогинился/отключил/посмотрел лог)
Докрутил фильтр, если лишние строки есть (или наоборот, ничего нет)
Оставил бы сервер включённым на ночь с этим фильтром, с записью логов в файлы
Утром проанализировал бы логи

[wertyg]

компьютер злодея именуеться "FS1". сам с вэб серверами не сталкивался и потому предполагаю:

1 запись имени ПК не содержит доменного имени а следовательно ПК из локальной сети.
2 запись имени ПК не содержит IP а значит последний на твоём сервере разрешаеться в имя. следует посмотреть ДНС записи командой nslookup FS1. или проследить приблезительно время подбора и выполнить команду ping FS1. в результате вып.получиш IP.
3

Цитата Dinka:

Event Type: Warning Event Source: MSFTPSVC »

Source: MSFTPSVC - эдаётся мне что это FTP сервер. возможно он открыт в инет. если он хорошо известен то возможно это просто многочисленные попытки подкл. к нему с разных мест. не факт что это подбор паролей. хотя если имя компа всегда FS1 тогда да подбор.

п.с. если ты админ сервера тогда пасивной защитой от взлома будет:
а - генерация случайным образом(строчные\заглавные буквы) имени админа не менее восьми символов. и такая же генерация пароля не менее 15и символов. и пущай подбирают.) бу га га га ...))))
б - запрет логиниться из сети под встроенной учётной записью с именем "Администратор" в анг.варианте "Administrator". обрати внимание что запрет на учётку, а не на пользователей с отличными именами из группы администраторы.)

и запомини любой пароль можно подобрать брутом вопрос только во времени. чем сложнее имя учётки и\или пароль тем труднее(читай дольше) по времени его подобрать.

ага.)

Цитата Dinka:

это сервер и туда нет возможности поставить фаервол. »

не припомню чтоб в вин2003 был запрет на установку фаервола.)