Перейти к содержимому


Фото
- - - - -

Украли ноутбук, помогите с запросом к БД об IP-адресах

украли IP адрес

  • Please log in to reply
61 ответов в этой теме

#21 riaman

riaman

    Member

  • Posters
  • 162 Сообщений:

Отправлено 24 Ноябрь 2018 - 19:26

Если б была функция антивор для ЕС агента...

Ну это в данном случае вор сглупил и вышел в интернет. Так-то "профессиональный" жулик так не поступит, всё удалит, переустановит как минимум.

#22 SergSG

SergSG

    The Master

  • Posters
  • 11 398 Сообщений:

Отправлено 24 Ноябрь 2018 - 21:29

IlyaS, как вы себе представляете этот функционал?

Как вариант - радио маяк в корпусе. Если попроще - цепь и 220. :)



#23 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 011 Сообщений:

Отправлено 25 Ноябрь 2018 - 00:23

SergSG, в ES агенте!? Эм.



#24 d.a.panov

d.a.panov

    Member

  • Posters
  • 124 Сообщений:

Отправлено 25 Ноябрь 2018 - 10:58

А станция бывает подолгу онлайн? Если да – можно поупражняться, благо запускалка процессов в агенте есть.

Да, бывала по паре часов в он-лайне. Было бы круто конечно удаленно получить как-то кэш браузера и установить личность вора по этим данным, или получить доступ к веб-камере и микрофону,  сфотать личико и записать голос. Это возможно как-то через агент? Понятно, что это не функционал агента, но например, скопировать и запустить на украденном ноуте какой-то свой сервис.


Сообщение было изменено d.a.panov: 25 Ноябрь 2018 - 10:59


#25 d.a.panov

d.a.panov

    Member

  • Posters
  • 124 Сообщений:

Отправлено 25 Ноябрь 2018 - 11:01

 

А станция бывает подолгу онлайн? Если да – можно поупражняться, благо запускалка процессов в агенте есть.

Я себе представил, как сидит кто-то на диване, а ему открывается  блокнот с надписью "мы идем к вам" или что-то в этом духе :)

 

 

 

 

А станция бывает подолгу онлайн? Если да – можно поупражняться, благо запускалка процессов в агенте есть.

Я себе представил, как сидит кто-то на диване, а ему открывается  блокнот с надписью "мы идем к вам" или что-то в этом духе :)

 

 

А какие проблемы? Послать сообщение где написать все, что вы думаете о воре. Он его ж при подключении увидит.

 

 

Были такие мысли, но я от них отказался. Если вор скинет ноут, то сложнее что-то будет доказать. Количество полученных IP-адресов достаточное, я думаю провайдеру не составит труда по времени и этим IP определить абонента и адрес точки подключения



#26 SergSG

SergSG

    The Master

  • Posters
  • 11 398 Сообщений:

Отправлено 25 Ноябрь 2018 - 11:37

SergSG, в ES агенте!? Эм.

В ноуте. Украли ведь его. Ну, вроде бы как.



#27 d.a.panov

d.a.panov

    Member

  • Posters
  • 124 Сообщений:

Отправлено 25 Ноябрь 2018 - 12:18

Коллеги, пичаль. Проверил сейчас службу ESS, она лежит. Доступ через веб-интерфес отсутсвтвует. Перезапуск сервера проблему не решил.

В логе сервера ничего похожего на ошибку нету.

В журнале Windows сообщение об ошибке службы и уведомление о перезапуске через 2000мс. Перезапускается трижды. И тишина )

Вручную переместил включенные ранее процедуры из папки enabled в disabled и сервер стал стартовать.

То есть дело в в них. Хотя после активации этих процедур, в пятницу, я выполнял перезапуски тестовой станции и уведомления по почте приходили и о включении и об отключении.

От украденного ноута данных уведомлений я не дождался от того, что "легла" служба DrWeb.

Ну что ж, всем спасибо.

Буду дальше отслеживать IP "руками". 

Как-то так.


Сообщение было изменено d.a.panov: 25 Ноябрь 2018 - 12:19


#28 usverg

usverg

    Advanced Member

  • Posters
  • 598 Сообщений:

Отправлено 25 Ноябрь 2018 - 12:52

d.a.panov, кстати, а к серверу у Вас станции случаем не через VPN подключаются? Если да, то не проще ли его логи соединений поднять?



#29 d.a.panov

d.a.panov

    Member

  • Posters
  • 124 Сообщений:

Отправлено 25 Ноябрь 2018 - 12:59

d.a.panov, кстати, а к серверу у Вас станции случаем не через VPN подключаются? Если да, то не проще ли его логи соединений поднять?

нет, насколько я знаю трафик между агентом и сервером шифруется, необходимости в VPN нету. Порт ESS опубликован наружу и всё.



#30 usverg

usverg

    Advanced Member

  • Posters
  • 598 Сообщений:

Отправлено 25 Ноябрь 2018 - 13:02

d.a.panov, жаль. Т.е. и входа в корпоративную сеть не осуществляется (в противном случае учётки неплохо бы аннулировать)? П.С.: как вариант, на шлюзе залогировать соединения с открытым портом и сопоставить с известными локациями.


Сообщение было изменено usverg: 25 Ноябрь 2018 - 13:04


#31 d.a.panov

d.a.panov

    Member

  • Posters
  • 124 Сообщений:

Отправлено 25 Ноябрь 2018 - 13:07

d.a.panov, жаль. Т.е. и входа в корпоративную сеть не осуществляется (в противном случае учётки неплохо бы аннулировать)?

этот ноут был предназначен для публичных мероприятий, на нем нет учеток доменных никаких и никакой секретной информации, логин и пароль наклеены были на корпусе. На одном из мероприятий он и обрел нового хозяина. ) на нем прописан только доступ к гостевой сети WiFi организации. так что ничего менять и блокировать не нужно.



#32 d.a.panov

d.a.panov

    Member

  • Posters
  • 124 Сообщений:

Отправлено 25 Ноябрь 2018 - 18:05

Сейчас в он-лайн этот ноут.

Есть возможность получить допустим полные URL-адреса по которым ходят с него?

Хотелось бы идентифицировать нового владельца )))



#33 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 180 Сообщений:

Отправлено 25 Ноябрь 2018 - 18:28

Смотрите. Самое сложное в данной ситуации – получить обратную связь от станции, в 10 версии нет никаких средств, чтоб это сделать, максимум – код возврата запущенного процесса. Потому из известных выходов – ftp (причём если там какая-либо старая винда, то только в активном режиме, так что наверняка вариант не подойдёт, в новых виндах вроде и пассивный поддерживается) либо smb (да, придётся выставить смб-сервер в интернет). Может быть на станции установлен какой-то софт, который это упростит. Как вариант – на чём-либо скриптовом набросать что-то, что сможет отправлять электронные письма или отправлять http-запросы на какой-либо сервер. Лучше на чём-либо сначала потренироваться, потом уже начать мучить эту машину.

Лично я подобный финт ушами делал, но там была возможность использовать активный фтп.

Экспериментировать надо. Смотреть в сторону планировщика заданий агента, где можно запускать что угодно, например, cmd, powershell и прочее. Время – каждую минуту, выполнять один раз. Поставить птицу "дожидаться завершения" – тогда получите хотя бы код возврата, 0 – норм, не ноль – ошибка.

 

Есть вариант обновить до 11/11.5 – тогда будет проще.


Сообщение было изменено VVS: 25 Ноябрь 2018 - 19:13

Семь раз отрежь – один раз проверь

#34 SergSG

SergSG

    The Master

  • Posters
  • 11 398 Сообщений:

Отправлено 25 Ноябрь 2018 - 19:17

Сейчас в он-лайн этот ноут.

Есть возможность получить допустим полные URL-адреса по которым ходят с него?

Хотелось бы идентифицировать нового владельца )))

Если провайдер все время один и это не публичный WiFi, по идее, копы по вашим данным просто должны запросить у провайдера домашний адрес. Там и познакомитесь. А может выяснится, что Вы уже знакомы.  :)

А что Вам могут дать URL? Даже если Вы тем или иным способом сами идентифицируете вора, без копов Вы все равно ничего не получите.



#35 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 180 Сообщений:

Отправлено 25 Ноябрь 2018 - 19:18

Даже если Вы тем или иным способом сами идентифицируете вора, без копов Вы все равно ничего не получите.

Бывают варианты и без них убедить человека, что лучше вернуть и извиниться.


Семь раз отрежь – один раз проверь

#36 SergSG

SergSG

    The Master

  • Posters
  • 11 398 Сообщений:

Отправлено 25 Ноябрь 2018 - 19:23

 

Даже если Вы тем или иным способом сами идентифицируете вора, без копов Вы все равно ничего не получите.

Бывают варианты и без них убедить человека, что лучше вернуть и извиниться.

 

Да он сольет его при первой же опасности.

Если не слил его в первый же день. Очень может быть, что уже сейчас в инет ходит покупатель, а не вор.



#37 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 2 823 Сообщений:

Отправлено 26 Ноябрь 2018 - 11:09

Коллеги, пичаль. Проверил сейчас службу ESS, она лежит. Доступ через веб-интерфес отсутсвтвует. Перезапуск сервера проблему не решил.

В логе сервера ничего похожего на ошибку нету.

Вот логи бы посмотреть такой засады.


(exit 0)


#38 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 2 823 Сообщений:

Отправлено 26 Ноябрь 2018 - 11:11

Смотрите. Самое сложное в данной ситуации – получить обратную связь от станции, в 10 версии нет никаких средств, чтоб это сделать, максимум – код возврата запущенного процесса.

Самое сложное, в данной ситуации, имхо -- удержаться от соблазна влезть в эти эксперименты =) И станция окончательно отвалится.


Сообщение было изменено Kirill Polubelov: 26 Ноябрь 2018 - 11:12

(exit 0)


#39 d.a.panov

d.a.panov

    Member

  • Posters
  • 124 Сообщений:

Отправлено 26 Ноябрь 2018 - 12:05

Коллеги, еще раз всем спасибо за советы. Сегодня свежий IP отправлен оперативным работникам полиции. Обещали сегодня же подать запрос провайдеру. Пока ноут периодически светится и есть свежие IP , то смысла нет что-то делать. Если окажется, что провайдер не может выдать нужную информацию, то придется что-то придумывать. IP-адреса из динамического диапазона, pppoe. Вопрос в том, ведет ли провайдер логи. Хотя по закону обязан. Я думаю на этой неделе будет известно.


Сообщение было изменено d.a.panov: 26 Ноябрь 2018 - 12:06


#40 d.a.panov

d.a.panov

    Member

  • Posters
  • 124 Сообщений:

Отправлено 26 Ноябрь 2018 - 12:17

 

Сейчас в он-лайн этот ноут.

Есть возможность получить допустим полные URL-адреса по которым ходят с него?

Хотелось бы идентифицировать нового владельца )))

Если провайдер все время один и это не публичный WiFi, по идее, копы по вашим данным просто должны запросить у провайдера домашний адрес. Там и познакомитесь. А может выяснится, что Вы уже знакомы.  :)

А что Вам могут дать URL? Даже если Вы тем или иным способом сами идентифицируете вора, без копов Вы все равно ничего не получите.

 

не знакомы, так как перед обращением в полицию опрашивали всех, кто мог взять ноутбук и всем известно, что он отслеживается. Выходы в инет с него продолжаются. URL могли бы дать профили в соцсетях, фотографии и пр. Наиболее частый или первый URL скорее всего вел бы на личную страницу. Это на тот случай, если крупный провайдер не ведет логи. ) Без полиции в любом случае никуда. А то может получиться, что сначала мы этих хулиганов ловили, а как поймали, так они нас бить начали. ) 





Also tagged with one or more of these keywords: украли, IP адрес

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых