И всё-таки. Я извиняюсь за настойчивость =) но логи бы глянуть, когда сервер прилёг от хука справа =)
Украли ноутбук, помогите с запросом к БД об IP-адресах
#41
Отправлено 26 Ноябрь 2018 - 12:25
#42
Отправлено 26 Ноябрь 2018 - 16:44
Есть возможность получить допустим полные URL-адреса по которым ходят с него?
%ProgramData%\Doctor Web\Logs\netfilter.log может дать некоторую информацию. Остаётся вопрос, как зацепить этот файл с машины.
Теоретически "из коробки" можно сделать через АВ-планировщик задач bitsadmin /transfer http://.../sendemail.exe на локал, а потом через sendemail.exe с локала выслать лог на почту.
Сообщение было изменено Jumbo Frame: 26 Ноябрь 2018 - 16:47
Dr.Web Server 13.00.1-202401120 (Linux 5.10.198-std-def-alt1 x86_64; 1 SMP Wed Oct 11 00:33:51 UTC 2023; glibc 2.32)
#43
Отправлено 26 Ноябрь 2018 - 18:23
И всё-таки. Я извиняюсь за настойчивость =) но логи бы глянуть, когда сервер прилёг от хука справа =)
Я помню про ваш вопрос. Но версия сервера 10.01, я ранее обращался в саппорт с другой проблемой, там сказали сперва обновиться до 11, так как в 10 изменения вноситься уже не будут.
Обновление было запланировано на новогодние праздники. Если есть большое желание разобраться именно с 10-кой то напишите. Я соберу вам необходимые логи для анализа. Но отложим это до ответа полиции, получилось через провайдера установить местонахождение или нет.
#44
Отправлено 26 Ноябрь 2018 - 18:25
Есть возможность получить допустим полные URL-адреса по которым ходят с него?
%ProgramData%\Doctor Web\Logs\netfilter.log может дать некоторую информацию. Остаётся вопрос, как зацепить этот файл с машины.
Теоретически "из коробки" можно сделать через АВ-планировщик задач bitsadmin /transfer http://.../sendemail.exe на локал, а потом через sendemail.exe с локала выслать лог на почту.
спасибо за наводку про bitsadmin, поизучаю.
#45
Отправлено 26 Ноябрь 2018 - 18:42
Я помню про ваш вопрос...
В десятке, насколько мне известно, тоже ничего не предвещает падения сервера, из-за срабатывания хуков.
Так что, вполне возможно, сие будет и в 11-м. Впрочем, если совсем не до этого сейчас, то, конечно отложим.
Однако, если вдруг сохранились, то можно просто заслать в личку логи сервера за период, когда включали хуки, этого может быть достаточно.
Сообщение было изменено Kirill Polubelov: 26 Ноябрь 2018 - 18:43
#46
Отправлено 26 Ноябрь 2018 - 23:55
d.a.panov
Вот же ж... Только сегодня проверял доступность сайта этой самой утилиты sendemail - а сейчас этот блок адресов РКН заблокировал.
На всякий случай выложил на мегу: https://mega.nz/#!3NdljQya!erTorzxCjsuPzfMqccFvMH04Gosu2GopkhJsL8mivOo
Разумеется, нужно будет выложить на какой-нибудь хостинг для прямой закачки и потом уже тянуть через bitsadmin (он хоть и меееедленный, но работает),
Dr.Web Server 13.00.1-202401120 (Linux 5.10.198-std-def-alt1 x86_64; 1 SMP Wed Oct 11 00:33:51 UTC 2023; glibc 2.32)
#47
Отправлено 27 Ноябрь 2018 - 11:44
Только на вирусы не забудьте проверить =)
#48
Отправлено 27 Ноябрь 2018 - 15:33
d.a.panov
Вот же ж... Только сегодня проверял доступность сайта этой самой утилиты sendemail - а сейчас этот блок адресов РКН заблокировал.
На всякий случай выложил на мегу: https://mega.nz/#!3NdljQya!erTorzxCjsuPzfMqccFvMH04Gosu2GopkhJsL8mivOo
Разумеется, нужно будет выложить на какой-нибудь хостинг для прямой закачки и потом уже тянуть через bitsadmin (он хоть и меееедленный, но работает),
спасибо, у меня есть эта утилита.
#49
Отправлено 27 Ноябрь 2018 - 21:32
d.a.panov, Вы нас в курсе держите, как там с копами дело. Интересно, чем этот детектив закончится.
#50
Отправлено 28 Ноябрь 2018 - 05:19
Вчера ноут нашли. По предоставленным мной данным о времени и IP-адресах установили через провайдера абонента. Ноутбук изъяли.
Более пока информации нет. Сказали вызовут меня. Подробности будут позже, если не заставят какую-либо подписку давать о неразглашении. Вдруг там несовершеннолетние участники или еще чего.
#51
Отправлено 28 Ноябрь 2018 - 06:22
Я помню про ваш вопрос...В десятке, насколько мне известно, тоже ничего не предвещает падения сервера, из-за срабатывания хуков.
Так что, вполне возможно, сие будет и в 11-м. Впрочем, если совсем не до этого сейчас, то, конечно отложим.
Однако, если вдруг сохранились, то можно просто заслать в личку логи сервера за период, когда включали хуки, этого может быть достаточно.
вот так выглядит кусок лога drwcsd.log
20181123.181147.24 inf [02704 0c30] wrk:1 tcp://192.168.55.69:54306/pc: Further protocol version 2.33
20181125.150609.89 inf [01540 0608] main [Logger] Logfile has been opened by Dr.Web Server Version REL-1000 Build 10.01.0.201705110
т.е. ничего не отражено о попытках между этими отметками времени запуска служб или что еще.
Я могу воспроизвести проблему.
Подскажите какие настройки и где сделать для более детальных записей в логе сервера и может быть еще какие логи нужны?
#52
Отправлено 28 Ноябрь 2018 - 11:38
По предоставленным мной данным о времени и IP-адресах
Ой вэй! Таки угроза "Я тебя по IP вычислю!", нашла своё подтверждение на практике =) Поздравляю)
Я могу воспроизвести проблему.Подскажите какие настройки и где сделать
Было бы здорово.
Минимально: потребуется включить в "Администрирование" - "Конфигурацияя Сервера Dr.Web" - "Модули" модуль "Расширение Dr.Web Server FrontDoor",
И нажать на кнопку рестарта сервера (рестартует только ес-сервер).
Только при следующем возникновении проблемы, в подкаталоге var/crash-dumps(название приблизительное) будет дамп процесса drwcsd (я надеюсь).
В идеале хорошо бы ещё включить дебажный лог, наверно.
Сообщение было изменено Kirill Polubelov: 28 Ноябрь 2018 - 11:39
#53
Отправлено 28 Ноябрь 2018 - 12:48
Ой вэй! Таки угроза "Я тебя по IP вычислю!", нашла своё подтверждение на практике =)
Чувак, видимо, считал, что под защитой антивируса вычисление по IP ему не грозит
Dr.Web Server 13.00.1-202401120 (Linux 5.10.198-std-def-alt1 x86_64; 1 SMP Wed Oct 11 00:33:51 UTC 2023; glibc 2.32)
#54
Отправлено 28 Ноябрь 2018 - 13:15
Вчера ноут нашли. По предоставленным мной данным о времени и IP-адресах установили через провайдера абонента. Ноутбук изъяли.
Более пока информации нет. Сказали вызовут меня. Подробности будут позже, если не заставят какую-либо подписку давать о неразглашении. Вдруг там несовершеннолетние участники или еще чего.
боюсь что больше его никто не увидит...
#55
Отправлено 29 Ноябрь 2018 - 19:17
Вчера ноут нашли. По предоставленным мной данным о времени и IP-адресах установили через провайдера абонента. Ноутбук изъяли.
Более пока информации нет. Сказали вызовут меня. Подробности будут позже, если не заставят какую-либо подписку давать о неразглашении. Вдруг там несовершеннолетние участники или еще чего.
боюсь что больше его никто не увидит...
Вещь док? Хранить 20 лет?
#56
Отправлено 29 Ноябрь 2018 - 19:36
Хранить 20 дней, а потом "потерять". =)
#57
Отправлено 29 Ноябрь 2018 - 21:41
Хранить 20 дней, а потом "потерять". =)
Опять по IP найдется.
#58
Отправлено 29 Ноябрь 2018 - 21:47
Клево
#59
Отправлено 08 Декабрь 2018 - 17:24
че норм... жаль у нас уперли ноут а там мы ставили обычную версию веба. не привязанную к серверу
#60
Отправлено 08 Декабрь 2018 - 20:49
Плохо думаете о своих...Вчера ноут нашли. По предоставленным мной данным о времени и IP-адресах установили через провайдера абонента. Ноутбук изъяли.
Более пока информации нет. Сказали вызовут меня. Подробности будут позже, если не заставят какую-либо подписку давать о неразглашении. Вдруг там несовершеннолетние участники или еще чего.
боюсь что больше его никто не увидит...
Вы тоже.Хранить 20 дней, а потом "потерять". =)
Also tagged with one or more of these keywords: украли, IP адрес
Русские форумы →
Общие вопросы →
Мошеннчество с продажей лицензий вашей компанией.Автор: Илбэч , 06 окт 2018 воровство, мошенничество и еще 5… |
|
|
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых