Ну это в данном случае вор сглупил и вышел в интернет. Так-то "профессиональный" жулик так не поступит, всё удалит, переустановит как минимум.Если б была функция антивор для ЕС агента...
Украли ноутбук, помогите с запросом к БД об IP-адресах
#21
Отправлено 24 Ноябрь 2018 - 19:26
#22
Отправлено 24 Ноябрь 2018 - 21:29
IlyaS, как вы себе представляете этот функционал?
Как вариант - радио маяк в корпусе. Если попроще - цепь и 220.
#23
Отправлено 25 Ноябрь 2018 - 00:23
SergSG, в ES агенте!? Эм.
#24
Отправлено 25 Ноябрь 2018 - 10:58
А станция бывает подолгу онлайн? Если да – можно поупражняться, благо запускалка процессов в агенте есть.
Да, бывала по паре часов в он-лайне. Было бы круто конечно удаленно получить как-то кэш браузера и установить личность вора по этим данным, или получить доступ к веб-камере и микрофону, сфотать личико и записать голос. Это возможно как-то через агент? Понятно, что это не функционал агента, но например, скопировать и запустить на украденном ноуте какой-то свой сервис.
Сообщение было изменено d.a.panov: 25 Ноябрь 2018 - 10:59
#25
Отправлено 25 Ноябрь 2018 - 11:01
А станция бывает подолгу онлайн? Если да – можно поупражняться, благо запускалка процессов в агенте есть.
Я себе представил, как сидит кто-то на диване, а ему открывается блокнот с надписью "мы идем к вам" или что-то в этом духе
А станция бывает подолгу онлайн? Если да – можно поупражняться, благо запускалка процессов в агенте есть.
Я себе представил, как сидит кто-то на диване, а ему открывается блокнот с надписью "мы идем к вам" или что-то в этом духе
А какие проблемы? Послать сообщение где написать все, что вы думаете о воре. Он его ж при подключении увидит.
Были такие мысли, но я от них отказался. Если вор скинет ноут, то сложнее что-то будет доказать. Количество полученных IP-адресов достаточное, я думаю провайдеру не составит труда по времени и этим IP определить абонента и адрес точки подключения
#26
Отправлено 25 Ноябрь 2018 - 11:37
SergSG, в ES агенте!? Эм.
В ноуте. Украли ведь его. Ну, вроде бы как.
#27
Отправлено 25 Ноябрь 2018 - 12:18
Коллеги, пичаль. Проверил сейчас службу ESS, она лежит. Доступ через веб-интерфес отсутсвтвует. Перезапуск сервера проблему не решил.
В логе сервера ничего похожего на ошибку нету.
В журнале Windows сообщение об ошибке службы и уведомление о перезапуске через 2000мс. Перезапускается трижды. И тишина )
Вручную переместил включенные ранее процедуры из папки enabled в disabled и сервер стал стартовать.
То есть дело в в них. Хотя после активации этих процедур, в пятницу, я выполнял перезапуски тестовой станции и уведомления по почте приходили и о включении и об отключении.
От украденного ноута данных уведомлений я не дождался от того, что "легла" служба DrWeb.
Ну что ж, всем спасибо.
Буду дальше отслеживать IP "руками".
Как-то так.
Сообщение было изменено d.a.panov: 25 Ноябрь 2018 - 12:19
#28
Отправлено 25 Ноябрь 2018 - 12:52
d.a.panov, кстати, а к серверу у Вас станции случаем не через VPN подключаются? Если да, то не проще ли его логи соединений поднять?
But a thing of beauty, I know, will never fade away...
#29
Отправлено 25 Ноябрь 2018 - 12:59
d.a.panov, кстати, а к серверу у Вас станции случаем не через VPN подключаются? Если да, то не проще ли его логи соединений поднять?
нет, насколько я знаю трафик между агентом и сервером шифруется, необходимости в VPN нету. Порт ESS опубликован наружу и всё.
#30
Отправлено 25 Ноябрь 2018 - 13:02
d.a.panov, жаль. Т.е. и входа в корпоративную сеть не осуществляется (в противном случае учётки неплохо бы аннулировать)? П.С.: как вариант, на шлюзе залогировать соединения с открытым портом и сопоставить с известными локациями.
Сообщение было изменено usverg: 25 Ноябрь 2018 - 13:04
But a thing of beauty, I know, will never fade away...
#31
Отправлено 25 Ноябрь 2018 - 13:07
d.a.panov, жаль. Т.е. и входа в корпоративную сеть не осуществляется (в противном случае учётки неплохо бы аннулировать)?
этот ноут был предназначен для публичных мероприятий, на нем нет учеток доменных никаких и никакой секретной информации, логин и пароль наклеены были на корпусе. На одном из мероприятий он и обрел нового хозяина. ) на нем прописан только доступ к гостевой сети WiFi организации. так что ничего менять и блокировать не нужно.
#32
Отправлено 25 Ноябрь 2018 - 18:05
Сейчас в он-лайн этот ноут.
Есть возможность получить допустим полные URL-адреса по которым ходят с него?
Хотелось бы идентифицировать нового владельца )))
#33
Отправлено 25 Ноябрь 2018 - 18:28
Смотрите. Самое сложное в данной ситуации – получить обратную связь от станции, в 10 версии нет никаких средств, чтоб это сделать, максимум – код возврата запущенного процесса. Потому из известных выходов – ftp (причём если там какая-либо старая винда, то только в активном режиме, так что наверняка вариант не подойдёт, в новых виндах вроде и пассивный поддерживается) либо smb (да, придётся выставить смб-сервер в интернет). Может быть на станции установлен какой-то софт, который это упростит. Как вариант – на чём-либо скриптовом набросать что-то, что сможет отправлять электронные письма или отправлять http-запросы на какой-либо сервер. Лучше на чём-либо сначала потренироваться, потом уже начать мучить эту машину.
Лично я подобный финт ушами делал, но там была возможность использовать активный фтп.
Экспериментировать надо. Смотреть в сторону планировщика заданий агента, где можно запускать что угодно, например, cmd, powershell и прочее. Время – каждую минуту, выполнять один раз. Поставить птицу "дожидаться завершения" – тогда получите хотя бы код возврата, 0 – норм, не ноль – ошибка.
Есть вариант обновить до 11/11.5 – тогда будет проще.
Сообщение было изменено VVS: 25 Ноябрь 2018 - 19:13
#34
Отправлено 25 Ноябрь 2018 - 19:17
Сейчас в он-лайн этот ноут.
Есть возможность получить допустим полные URL-адреса по которым ходят с него?
Хотелось бы идентифицировать нового владельца )))
Если провайдер все время один и это не публичный WiFi, по идее, копы по вашим данным просто должны запросить у провайдера домашний адрес. Там и познакомитесь. А может выяснится, что Вы уже знакомы.
А что Вам могут дать URL? Даже если Вы тем или иным способом сами идентифицируете вора, без копов Вы все равно ничего не получите.
#35
Отправлено 25 Ноябрь 2018 - 19:18
Даже если Вы тем или иным способом сами идентифицируете вора, без копов Вы все равно ничего не получите.
Бывают варианты и без них убедить человека, что лучше вернуть и извиниться.
#36
Отправлено 25 Ноябрь 2018 - 19:23
Даже если Вы тем или иным способом сами идентифицируете вора, без копов Вы все равно ничего не получите.Бывают варианты и без них убедить человека, что лучше вернуть и извиниться.
Да он сольет его при первой же опасности.
Если не слил его в первый же день. Очень может быть, что уже сейчас в инет ходит покупатель, а не вор.
#37
Отправлено 26 Ноябрь 2018 - 11:09
Коллеги, пичаль. Проверил сейчас службу ESS, она лежит. Доступ через веб-интерфес отсутсвтвует. Перезапуск сервера проблему не решил.В логе сервера ничего похожего на ошибку нету.
Вот логи бы посмотреть такой засады.
#38
Отправлено 26 Ноябрь 2018 - 11:11
Смотрите. Самое сложное в данной ситуации – получить обратную связь от станции, в 10 версии нет никаких средств, чтоб это сделать, максимум – код возврата запущенного процесса.
Самое сложное, в данной ситуации, имхо -- удержаться от соблазна влезть в эти эксперименты =) И станция окончательно отвалится.
Сообщение было изменено Kirill Polubelov: 26 Ноябрь 2018 - 11:12
#39
Отправлено 26 Ноябрь 2018 - 12:05
Коллеги, еще раз всем спасибо за советы. Сегодня свежий IP отправлен оперативным работникам полиции. Обещали сегодня же подать запрос провайдеру. Пока ноут периодически светится и есть свежие IP , то смысла нет что-то делать. Если окажется, что провайдер не может выдать нужную информацию, то придется что-то придумывать. IP-адреса из динамического диапазона, pppoe. Вопрос в том, ведет ли провайдер логи. Хотя по закону обязан. Я думаю на этой неделе будет известно.
Сообщение было изменено d.a.panov: 26 Ноябрь 2018 - 12:06
#40
Отправлено 26 Ноябрь 2018 - 12:17
Сейчас в он-лайн этот ноут.
Есть возможность получить допустим полные URL-адреса по которым ходят с него?
Хотелось бы идентифицировать нового владельца )))
Если провайдер все время один и это не публичный WiFi, по идее, копы по вашим данным просто должны запросить у провайдера домашний адрес. Там и познакомитесь. А может выяснится, что Вы уже знакомы.
А что Вам могут дать URL? Даже если Вы тем или иным способом сами идентифицируете вора, без копов Вы все равно ничего не получите.
не знакомы, так как перед обращением в полицию опрашивали всех, кто мог взять ноутбук и всем известно, что он отслеживается. Выходы в инет с него продолжаются. URL могли бы дать профили в соцсетях, фотографии и пр. Наиболее частый или первый URL скорее всего вел бы на личную страницу. Это на тот случай, если крупный провайдер не ведет логи. ) Без полиции в любом случае никуда. А то может получиться, что сначала мы этих хулиганов ловили, а как поймали, так они нас бить начали. )
Also tagged with one or more of these keywords: украли, IP адрес
Русские форумы →
Общие вопросы →
Мошеннчество с продажей лицензий вашей компанией.Автор: Илбэч , 06 окт 2018 воровство, мошенничество и еще 5… |
|
|
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых