Перейти к содержимому


Фото
- - - - -

Украли ноутбук, помогите с запросом к БД об IP-адресах

украли IP адрес

  • Please log in to reply
61 ответов в этой теме

#41 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 2 865 Сообщений:

Отправлено 26 Ноябрь 2018 - 12:25

И всё-таки. Я извиняюсь за настойчивость =) но логи бы глянуть, когда сервер прилёг от хука справа =)


(exit 0)


#42 Jumbo Frame

Jumbo Frame

    Member

  • Posters
  • 116 Сообщений:

Отправлено 26 Ноябрь 2018 - 16:44

 

 

Есть возможность получить допустим полные URL-адреса по которым ходят с него?

 

%ProgramData%\Doctor Web\Logs\netfilter.log может дать некоторую информацию. Остаётся вопрос, как зацепить этот файл с машины.

Теоретически "из коробки" можно сделать через АВ-планировщик задач bitsadmin /transfer http://.../sendemail.exe на локал, а потом через sendemail.exe с локала выслать лог на почту.


Сообщение было изменено Jumbo Frame: 26 Ноябрь 2018 - 16:47

Dr.Web Server 10.01.0-201705110 (Linux 3.16.0-38-generic x86_64; Linux Mint 17.3 Rosa; glibc 2.19; NPTL 2.19)


#43 d.a.panov

d.a.panov

    Member

  • Posters
  • 124 Сообщений:

Отправлено 26 Ноябрь 2018 - 18:23

И всё-таки. Я извиняюсь за настойчивость =) но логи бы глянуть, когда сервер прилёг от хука справа =)

Я помню про ваш вопрос. Но версия сервера 10.01, я ранее обращался в саппорт с другой проблемой, там сказали сперва обновиться до 11, так как в 10 изменения вноситься уже не будут. 

Обновление было запланировано на новогодние праздники. Если есть большое желание разобраться именно с 10-кой то напишите. Я соберу вам необходимые логи для анализа. Но отложим это до ответа полиции, получилось через провайдера установить местонахождение или нет.



#44 d.a.panov

d.a.panov

    Member

  • Posters
  • 124 Сообщений:

Отправлено 26 Ноябрь 2018 - 18:25

 

 

 

Есть возможность получить допустим полные URL-адреса по которым ходят с него?

 

%ProgramData%\Doctor Web\Logs\netfilter.log может дать некоторую информацию. Остаётся вопрос, как зацепить этот файл с машины.

Теоретически "из коробки" можно сделать через АВ-планировщик задач bitsadmin /transfer http://.../sendemail.exe на локал, а потом через sendemail.exe с локала выслать лог на почту.

 

 

спасибо за наводку про bitsadmin, поизучаю.



#45 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 2 865 Сообщений:

Отправлено 26 Ноябрь 2018 - 18:42

Я помню про ваш вопрос...

В десятке, насколько мне известно, тоже ничего не предвещает падения сервера, из-за срабатывания хуков.

Так что, вполне возможно, сие будет и в 11-м. Впрочем, если совсем не до этого сейчас, то, конечно отложим.

Однако, если вдруг сохранились, то можно просто заслать в личку логи сервера за период, когда включали хуки, этого может быть достаточно.


Сообщение было изменено Kirill Polubelov: 26 Ноябрь 2018 - 18:43

(exit 0)


#46 Jumbo Frame

Jumbo Frame

    Member

  • Posters
  • 116 Сообщений:

Отправлено 26 Ноябрь 2018 - 23:55

d.a.panov

 

Вот же ж... Только сегодня проверял доступность сайта этой самой утилиты sendemail - а сейчас этот блок адресов РКН заблокировал.

На всякий случай выложил на мегу: https://mega.nz/#!3NdljQya!erTorzxCjsuPzfMqccFvMH04Gosu2GopkhJsL8mivOo

Разумеется, нужно будет выложить на какой-нибудь хостинг для прямой закачки и потом уже тянуть через bitsadmin (он хоть и меееедленный, но работает),


Dr.Web Server 10.01.0-201705110 (Linux 3.16.0-38-generic x86_64; Linux Mint 17.3 Rosa; glibc 2.19; NPTL 2.19)


#47 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 2 865 Сообщений:

Отправлено 27 Ноябрь 2018 - 11:44

Только на вирусы не забудьте проверить =)


(exit 0)


#48 d.a.panov

d.a.panov

    Member

  • Posters
  • 124 Сообщений:

Отправлено 27 Ноябрь 2018 - 15:33

d.a.panov

 

Вот же ж... Только сегодня проверял доступность сайта этой самой утилиты sendemail - а сейчас этот блок адресов РКН заблокировал.

На всякий случай выложил на мегу: https://mega.nz/#!3NdljQya!erTorzxCjsuPzfMqccFvMH04Gosu2GopkhJsL8mivOo

Разумеется, нужно будет выложить на какой-нибудь хостинг для прямой закачки и потом уже тянуть через bitsadmin (он хоть и меееедленный, но работает),

спасибо, у меня есть эта утилита.



#49 SergSG

SergSG

    The Master

  • Posters
  • 11 460 Сообщений:

Отправлено 27 Ноябрь 2018 - 21:32

d.a.panov, Вы нас в курсе держите, как там с копами дело. Интересно, чем этот детектив закончится. :)



#50 d.a.panov

d.a.panov

    Member

  • Posters
  • 124 Сообщений:

Отправлено 28 Ноябрь 2018 - 05:19

Вчера ноут нашли. По предоставленным мной данным о времени и IP-адресах установили через провайдера абонента. Ноутбук изъяли.

Более пока информации нет. Сказали вызовут меня. Подробности будут позже, если не заставят какую-либо подписку давать о неразглашении. Вдруг там несовершеннолетние участники или еще чего.



#51 d.a.panov

d.a.panov

    Member

  • Posters
  • 124 Сообщений:

Отправлено 28 Ноябрь 2018 - 06:22

 

Я помню про ваш вопрос...

В десятке, насколько мне известно, тоже ничего не предвещает падения сервера, из-за срабатывания хуков.

Так что, вполне возможно, сие будет и в 11-м. Впрочем, если совсем не до этого сейчас, то, конечно отложим.

Однако, если вдруг сохранились, то можно просто заслать в личку логи сервера за период, когда включали хуки, этого может быть достаточно.

 

вот так выглядит кусок лога drwcsd.log

20181123.181147.24 inf [02704 0c30] wrk:1  tcp://192.168.55.69:54306/pc: Further protocol version 2.33
20181125.150609.89 inf [01540 0608] main   [Logger] Logfile has been opened by Dr.Web Server Version REL-1000 Build 10.01.0.201705110

 

т.е. ничего не отражено о попытках между этими отметками времени запуска служб или что еще.

 

Я могу воспроизвести проблему.

Подскажите какие настройки и где сделать для более детальных записей в логе сервера и может быть еще какие логи нужны?



#52 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 2 865 Сообщений:

Отправлено 28 Ноябрь 2018 - 11:38

По предоставленным мной данным о времени и IP-адресах

Ой вэй! Таки угроза "Я тебя по IP вычислю!", нашла своё подтверждение на практике =) Поздравляю)

 

 

 

Я могу воспроизвести проблему.

Подскажите какие настройки и где сделать

Было бы здорово.

Минимально: потребуется включить в "Администрирование" - "Конфигурацияя Сервера Dr.Web" - "Модули" модуль "Расширение Dr.Web Server FrontDoor",

И нажать на кнопку рестарта сервера (рестартует только ес-сервер).

Только при следующем возникновении проблемы, в подкаталоге var/crash-dumps(название приблизительное) будет дамп процесса drwcsd (я надеюсь).

 

В идеале хорошо бы ещё включить дебажный лог, наверно.


Сообщение было изменено Kirill Polubelov: 28 Ноябрь 2018 - 11:39

(exit 0)


#53 Jumbo Frame

Jumbo Frame

    Member

  • Posters
  • 116 Сообщений:

Отправлено 28 Ноябрь 2018 - 12:48

Ой вэй! Таки угроза "Я тебя по IP вычислю!", нашла своё подтверждение на практике =)

 

Чувак, видимо, считал, что под защитой антивируса вычисление по IP ему не грозит  :facepalm:  


Dr.Web Server 10.01.0-201705110 (Linux 3.16.0-38-generic x86_64; Linux Mint 17.3 Rosa; glibc 2.19; NPTL 2.19)


#54 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 213 Сообщений:

Отправлено 28 Ноябрь 2018 - 13:15

Вчера ноут нашли. По предоставленным мной данным о времени и IP-адресах установили через провайдера абонента. Ноутбук изъяли.

Более пока информации нет. Сказали вызовут меня. Подробности будут позже, если не заставят какую-либо подписку давать о неразглашении. Вдруг там несовершеннолетние участники или еще чего.

 

боюсь что больше его никто не увидит...



#55 SergSG

SergSG

    The Master

  • Posters
  • 11 460 Сообщений:

Отправлено 29 Ноябрь 2018 - 19:17

 

Вчера ноут нашли. По предоставленным мной данным о времени и IP-адресах установили через провайдера абонента. Ноутбук изъяли.

Более пока информации нет. Сказали вызовут меня. Подробности будут позже, если не заставят какую-либо подписку давать о неразглашении. Вдруг там несовершеннолетние участники или еще чего.

 

боюсь что больше его никто не увидит...

Вещь док? Хранить 20 лет? :)



#56 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 211 Сообщений:

Отправлено 29 Ноябрь 2018 - 19:36

Хранить 20 дней, а потом "потерять". =)


Семь раз отрежь – один раз проверь

#57 SergSG

SergSG

    The Master

  • Posters
  • 11 460 Сообщений:

Отправлено 29 Ноябрь 2018 - 21:41

Хранить 20 дней, а потом "потерять". =)

Опять по IP найдется. :)



#58 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 494 Сообщений:

Отправлено 29 Ноябрь 2018 - 21:47

Клево :)


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#59 MarkII

MarkII

    Newbie

  • Posters
  • 38 Сообщений:

Отправлено 08 Декабрь 2018 - 17:24

че норм... жаль у нас уперли ноут а там мы ставили обычную версию веба. не привязанную к серверу



#60 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 1 974 Сообщений:

Отправлено 08 Декабрь 2018 - 20:49

Вчера ноут нашли. По предоставленным мной данным о времени и IP-адресах установили через провайдера абонента. Ноутбук изъяли.
Более пока информации нет. Сказали вызовут меня. Подробности будут позже, если не заставят какую-либо подписку давать о неразглашении. Вдруг там несовершеннолетние участники или еще чего.

 
боюсь что больше его никто не увидит...

Плохо думаете о своих...
 

Хранить 20 дней, а потом "потерять". =)

Вы тоже.
Версия Сервера Dr.Web 11.00.2 (12-01-2019 05:00:00)
Linux 3.10.0-957.5.1.el7.x86_64 x86_64; ; glibc 2.17



Also tagged with one or more of these keywords: украли, IP адрес

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых