ネットワーク決闘

エントリー

ネットワークマッチに関するほとんど探偵の話をしたいと思います。 長い序文をおaびします。それがなければ、なぜそれがすべて起こったのかは明らかではないように思えました。

一方では、約10年前、約150台のコンピューターがあり、すべてがWindows（2000）であった組織で管理に従事していました。 その後、管理から離れ、現在は管理者として（Windowsでも）働いていますが、前に進むよりも、サポートが落ちないようにサポートしています。 人生では、彼はマイクロソフトに背を向け、現在はUbuntu Linuxを使用しています。 Ubuntuは学生レベルではないため、ユーザーレベルでもあります。コンピューターで作業する必要があります。必要に応じて、深部に飛び込むのに十分な時間がありません。

反対側については後で説明しますが、今のところは戦場の周りです。



1年前、私の半分はリゾート都市にある多くのホテルの1つでITマネージャーとしての仕事に就きました。 その瞬間、2人の男がそこで働いていましたが（そのうち1人はすぐに去りました）、IT Crowdとの関係に私は面白かったです。 笑うのは簡単ですが、実際、彼女はホテルの自動化ソフトウェアを理解しており、2003年にいくつかのMS管理試験に合格しました。 それにもかかわらず、彼女はこれをうまく管理した経験があまりなく、これに対する何らかの男性的な態度を持っています。



秋に、2人目は会社を辞め、専門職としての成長を続けるためにモスクワに向かった。 彼は、Gentoo（半分継承された）、GentooとFreeBSD、Windowsドメイン（2つのDC）、1つのCisco 1810を備えたワークステーションを残し、彼の能力を最大限に活用することを約束しました。 （会社のディレクターへのひどい願い：「はい、それであなたはgentushnikをやめるように！」）。



ワークステーションは、個人用ビデオカードなどを引き出した後、ロードしたくなかったので、自宅で作業した後、Gentooに会って最終的に整理しましたが、しばらくしてすべてを忘れました。 私自身、半分の仕事に従事するのは本当に好きではありません。できる限り縮小します。 連れて来られた人が家にいるときだけ、まあ、行き先がない。



徐々に、同社とゲントシュニクとの関係は無力になり、彼の代わりに、以前はセーフティネットとパートタイムの条件付きVovaで働いていた若い男が働き始めました。 時間が経つにつれて、Vovaは何とかして単独で管理に対処し始め、最近別の若い男がやってきました。

悪化

各企業には、昔から慣れている機能がいくつかあり、若くて元気な人が勝ちたいと思っていますが、多くの場合、次のものに取って代わります。 この会社では、これは独自のサイトをホストすることによってIPアドレスの禁止が定期的に繰り返されています。 時々、半分が私に質問をしました-何をすべきか、そして答えを残しました-あなたのイカのログを見てください。 何らかの理由でそれを行うことができませんでした：禁止が削除された/ログが適切な時間になかったなど...



今週の月曜日に、半分は再びログを見たいと思ったが、squidが動作するGentooサーバーに行くことができないことが判明した。 同時に、Vovaは5日間どこかを離れ、利用可能になると約束しました。 半分は仕事から来て、経験を共有しています。 午後8時にコールし、問題を報告します。 Vovaは9時半にコールバックしますが、そのようなパスワードでログインできます。 彼らの半分は試してみます-彼らはトンネルに入り、次に必要なサーバーに行きます-すべてが判明し、パスワードは彼女がダイヤルしたものと同じです。 あまり注意を払っていません-レイアウトを切り替えなかったか、名前を間違えたと思います。 彼は火曜日に仕事に出ます-彼はそこで同じ操作を試みます-彼は接続に失敗し、彼は再び文句を言います。 私は言っている、よく、あなたはそれを理解するだろう-あなたは何が起こるかわからない、多分ケルベロスを通してチェックが実行されるが、それは壊れる。

水曜日-もう一度質問があります。そのサーバーにアクセスする方法です。 ICQのバックグラウンドでの作業に関する質問と並行して、Gentooサーバーのbykapを探し、その中の構成、/ etc / shadowファイル（bykapが存在するという弱い期待で-それは夜間に作成され、多かれ少なかれ関連データを含み、シャドウが変更された日付が表示されるか、Kerberosが構成されているかどうかを確認できます）。 最初は、雄牛の輪が見つからなかったようです。そして、同じように、彼らはそれを見つけました-FreeBSDを備えたサーバー上で。 何をする/コピーする/コピーしないのか、どのように見るのかを考えましたが、FreeBSDへの接続が切断され、ログインできなくなりましたが、パスワードは機能しません。 私は、よく、Vovaに電話してパスワードを要求し、彼にそれを試して修正してもらいます。 Vovaは利用できません。 まあ、辛抱して、後でそれを理解します。 同時に、私は他の質問にゆっくりと答えています-ドメインコントローラでセキュリティログがクリアされるのはなぜですか？ まあ、一度も空想したくはないので、伝統的な答えは「これが起こる条件を理解してから分析する」というものです。 まあ、すでに彼女の漠然とした疑念のいくつかは苦しみ始めました、多分それはVovaですか？



私が言う-疑わしい場合は、彼が到着するまで内部ネットワークへのアクセスを単に禁止します。おそらく彼のパスワードはどこかに行き、彼の代わりに誰かがあなたと一緒にいるかもしれません。 彼女は新しい男にこれを行うように指示し、家に帰った。 シスコで設定されたVPNへのアクセスは、ADのWebVPNグループを介して制限されていました。 この男は、変更前と変更後のこのグループの構成でスクリーンショットを慎重に撮り、17：55に半分をメールに送信します。

それから、家事、そして夕方の10時に、私はこれのすべてをやりたくはありませんが、私は今、私がすぐにあなたのビジネスを手伝うと思います。 今、FreeBSDで何ができているのかを接続して確認しようとしています。なぜ今はそこに行くことができないのでしょうか。 そして、見よ、今ではVPNに入ることができない。 同時に、VPNクライアントの構成ですべてが正常であり、何も変更されていないことは既に確信しています。 誰かが間違った設定では説明できないと感じていましたが、VPNへのアクセスが制限されていると気分を害した人もいました。 同時に、彼自身もこれに苦しむことはありませんでした-彼は同じように簡単にログインし、どこかから予備のログインパスワードを取得する必要があったようです。 半分はVovaを呼び出します-彼はまだ答えません。 新しい男を呼び出し、試してみるように頼む-彼は同じナンセンスを持っています。

ファイティング

私は言う-まあ、それは悪臭がする、あなたはその場所に行って整理しなければならない。 Gathered-Ubuntuで古いCDを見つけ、USBフラッシュドライブを取り出して、そこに行きました。 旅行中に、ある種の計画が私の頭の中で形成されていましたが、一般的に、私にとって未知のネットワークで、そしてそのようなOS動物園でさえ、すぐに行って何かをすることは-なんとなく怖いです。 私の最初の考えは、インターネットをオフにすることですが、オフにした場合、私は自分自身に頼ることしかできず、遭遇したことのない問題を解決しません。 たとえば、私はシスコとビジネスをしていませんでした-離れる前にパスワードをリセットする方法をすぐに見つけて、USBフラッシュドライブに書き込みましたが、これだけでは役に立たず、設定を変更する必要があることに気付きました。 しかし、インターネットをオフにして、少なくともある程度の活動を見せないと、彼は気づき、何でもできます。 したがって、最初のことはそれをオフにすることです。



私たちは彼女のオフィスに行きます、彼女はすぐにコンピューターに向かいます-わかります。 私は言う-何も触れないでください、自分自身を与えないでください。 マウスを動かすことができました。 サーバールームに直行しました。そこにはラックがあり、たくさんのものが詰め込まれています。 50台のコンピューターがあるネットワークの場合でも、多すぎます。 150でネットワークを管理したとき、私はあまり管理を促進できませんでした。 ある種のネットワークKVM（そのようなネットワークKVMは見たことがありませんが、接続だけでポイントを理解しました）、およびイーサネット信号を使用するUPSは別の興味深いものです。 カメラは立って、起こるすべてを書き込みます。 半分が後で言ったように、彼女は音で書きます。 配線を理解しています-シスコが光学系と無線ネットワークからの何かの両方を含むことが判明しました-バックアップチャネル。 つまり、2つのチャネルのように見え、Ciscoが落ちた場合、インターネットは存在しません。 私は尋ねます-3Gモデムはどこかにありますか？ はい、ただしSIMカードはありません。 さて、インターネットがなくても、私はもう一度言いますが、ネットワークにつながるのはこれら2つのパスだけだと思われます。 たぶん1分間のsiの後、意図的な決定（シスコを最も安全な状態にする）はオフになります。 半分は「もしも」に非常に神経質でしたが、失うものは何もありません。仕事は私のものではありません。 すでに23:30頃でした。



次に、Ubuntu CDをGentooサーバーに挿入しますが、ロードされません-BIOSでブートパラメーターを変更する必要があります。 万が一、BIOSにパスワードがありません。そうでなければ、恐ろしいことに想像しました。サーバーをラックから取り出し、そこから追い出すか、ジャンパーを探します。 Ubuntuはロード中です。私は立ち上がって笑っています。「ほとんどのダミー」Linuxを使用して、Kulhackerの隠れ家である恥に登ったとき、誰かがビデオを見ます。



それでも、システムが起動し、RAIDが（歓声を上げます）、USBフラッシュドライブが機能しました（歓声はありません、そのUSB 1.1、大丈夫です）。 私は/など/影を見る-まあ、今のところ何も疑わない、日付は気にしません-半分が入ることができなかった瞬間まで。 内容を確認するのはもちろん難しいので、USBフラッシュドライブへのコピーなどを開始し、さらに勉強します。 / var / logでも目を引くものはありません。一部のファイルは空です（sshd.logなど）。これは奇妙ですが、あなたは決して知りません-ログが無効になっている可能性があります。 履歴と/ルートディレクトリのログもアーカイブします。 興味深いことが1つあります。lastlogファイルでIPアドレス87.245.163.145を確認できます。 インターネットは存在せず、何かをチェックして比較する可能性はありません。陰謀は残ります。 次に、Windowsドメインコントローラーに移動して、グループとユーザーで何が起こっているのかを確認します。 最初はセキュリティジャーナルです。そして驚きです。ユーザーが最後に「00:32にクリアした」イベントは、私が入力したイベントです。 プロセス追跡監査の直後の次のイベントは、「c：\ windows \ system32 \ wscript.exeがシャットダウンしています。」 実際、私はその時点で、コンピューターの故障や構成エラーではないという確信を得ることができました。 その前に、ある種の誤解、誤解を疑い、考えることができました。



Windowsでは、経験があり（偶然）、スタートアップ、レジストリ、グループポリシー（ドメイン、ドメインコントローラー）をすばやく確認しました。その結果、NETLOGONでusrlogon.vbsを見つけ、その起動はユーザープロファイルのお気に入りに割り当てられています。 おそらくすべてのものをすべての人に提供することはできますが、どうやら怠けすぎです。 スクリプト自体もサイレントです-WMIを介して、セキュリティログがクリアされます。 スクリプトが作成された日付は今夜、21である。 すぐに罪から離れた名前に変更します。 管理ユーザーのネットユーザーログイン時間を調べます。 そして、ここで管理者であり、何かで23に行ったことがわかります。 つまり、私たちが来てインターネットから切り取った瞬間はオンラインでした。 管理者権限を持つ別のユーザーも、夕方に職場で誰もいなかったときにログインしました。



最終日に変更されたファイルの検索を開始します-c：\ program files（x86）\ qip \ <UIN of my half> \ config.iniを見つけました。 つまり、彼が私たちのログを彼女と一緒に読んだため、彼女のセッションとサーバーをすぐに切断できることは明らかです。 たとえば、このような対話のプロセスでは：



[09:59] : xxx 20 00:36

[10:00] : ?

[10:00] : yyy- 131

[10:13] : xxx?

[11:21] :

[11:21] : ' -







それから私は単にそれに注意を払わなかった。 おそらく最後の日、彼はconfig.iniにアクセスして、自分で何かを書きたかったのでしょう。 最近のドキュメントtest.wshなどのファイルには、さらに興味深い発見はありませんでした-明らかに誰かがトレーニングをしていて、何か他のものに取り組んでいます。 興味深いものを後で検索するために、重要なユーザーのプロファイルのアーカイブを開始しました。



時間が経つと、ひばりは夜遅くまで考えて寝ているように感じます。 したがって、私はすでにそれをあるポイントに持ち込みたかった。 ドメインのナットを実際に締めて、Gentooサーバーにルートパスワードを設定すると、bycapが置かれているFreeBSDを簡単に切断できるように見えました。 Windowsを使用すると、管理者グループをフィルタリングし、残りの管理者のパスワードを変更するのが簡単になりました。



Gentooサーバーに戻ります-そこで、Ubuntuから直接、/ etc / shadowを変更し、パスワードを削除して、再起動後に自分で設定できるようにしました。 私はユーザーのリストをより注意深く調べています-私はaimsniffを見る-美！ aimsniffを見つけて、メッセージをインターセプトするポートと書き込む場所（MySQLデータベース内）にフィルタを設定する設定を見つけます。 はい、そのようなベースがあり、日付は新鮮です。 aimsniffを停止し、最初から削除します。

その後、Gentooで通常モードでシステムを再起動します-正常に起動します-何も問題はありませんでした。 root / toorのパスワードをリセットし、他の疑わしいパスワードをオフにします。



すべては午前4時ごろに終了するようです。 哲学的な疑問が残りました-誰かが内部に入ることができるようにシスコを有効にするか、内部の人々もインターネットを使用できるようにするか、すでに午前中にチャンネルを切り替えないようにするかどうかなど。それでも同じように、私は石の上に三つ編みを見つけました、私は潜んでいたでしょう、そして私がさらにシスコに行ったら、静かな方法で。 私はこれに賭けました-私たちはシスコをオンにし、職場でそれを確認しました-インターネットは機能し、それは機能しました-何も変わっていません。 満足感で彼らは去った。 朝、私はそこに行かなかったので、仕事をしなければなりませんでしたが、計算が間違っていたことが判明しました-彼は明らかに何かを信じず、彼の積極的な仕事を続けました。 インターネットがネットワーク上で動作しなくなりました。 そして、今日ネットワークをクリーンアップし続けた若い男は、彼がネットワークKVMを通して何かを管理している間、誰かがそれに接続していると言いました。 ネットワークKVMを今すぐ使用することはできません。それをオフにして、通常のスイッチに切り替えるか、必要なものだけを物理的に接続する必要があります。 午後遅く、シスコなしでインターネットがすでに接続されていたため、次に何が起こるかが時間でわかります。



しかし、おそらく探偵小説は暴露されることなく終わらないはずです。 おそらく最も怠zyな人は、私がどんな種類のIPをもたらしたかをすでに見ているでしょう。それはネットワークを指します。



所有者名：OOO Kabeljnyy Internet Krasnoznamenskaのネットワーク

IPから：87.245.163.128

IPへ：87.245.163.159

住所：ロシア、モスクワ地方、クラスノズナメンスク、ul。 クラスノカザルメンナヤ、d。 23



/root/.history（彼は私たちが遅い時間に場所に行くことを期待せずにクリーンアップする時間を持っていなかった）で私は「ping moneybox.sktv.ru」を見ました、そしてsktv.ruは再びクラスノズナメンスクです。 「：> lastlog」コマンドが存在することにより、IPアドレスが実在するものであり、非表示にすべきではない中間的なものではないと想定することもできます。

これでVovaが果たした役割と、パスワードを変更する必要があるときに彼がこの元管理者（条件付きでRoma）に連絡したかどうかは、おそらくまだわかります。



同様の状況に陥る可能性がある人のために、このストーリーの詳細をいくつか書きました。 裏側もより強力な動きをすることができることを完全に理解していますが、物理的なアクセスは物理的なアクセスであり、慎重に行動すれば勝つことが可能です。 行くぞ