Если это первоапрельская шутка, то мыши, кактусы, колючая проволока уже не смешно.

> Везде роутеры с закрытыми по всей видимости портами на вход. Пароли сложные, постоянно меняют. Юзеры сидят под юзерами.

Казачок внутри?

или троянчик-червячок..

Этот троянчик-червячок регулярно таскает казачок из дома и засылает.

1. Сабж не шутка

2. Троян который ничем не опознается и каждый день рушит сервак со всеми обновленями?.... не я понимаю что тут вся тема на научную фантастику похожа, но реально ли заказать контору таким челам, которые ее из инета будут тиранить месяц? или надо однозначно искать причину внутри?

>или троянчик-червячок..

Я уверен что труд троянописателя стоит гораздо дороже, чем Бабы Глаши

Скорее всего у него троянчик, не обнаруживаемый кисом. По сабжу - фряха, дебиан, генту.

Миграция должна помочь, ибо троянчики работать не смогут, а безопасность в динуксах выше с меньшей дырявостью.

> Я уверен что труд троянописателя стоит гораздо дороже, чем Бабы Глаши


конкуренты не дремлют же.

Выхода мне видится 2:

1. Заниматься дальнейшей покупкой «антивирусов» и прочих приблуд под винду, вычислением казачков и бабов Глаш и тому подобной муетой вплоть до полного и окончательного фейла;

2. Внешний файрвол (например, Linux+Iptables), DMZ с серверами, вендоюзеров - в отдельную зафайрволенную же подсеть. Постепенный перевод рабочих станций на Линукс.

Как-то так.

+1024 за №2.

Сам хотел подобное рекомендовать

Поможет только терморектальный криптоанализ.

ССЗБ

>Что это может быть?

Сервер под 2003, клиенты на XP/Vista/7

Стоит серверный KIS с постоянными обновлениями

>Что это может быть?
Ну, в общем-то, это прямое следствие состояния отрасли, когда админ может и должен быть заменяемым любым бомжом из подворотни за пожрать, а «они уже позаботились о вашем удобстве и безопасности».

Сервера переносить в DMZ(ага, даже для внутренней сетки).
И доступ в DMZ подсетку через линукс-роутер. Расписать в форварде правила: кому, куда, зачем.
Если осилит (по описанию - не осилит. помочь ему надо) логирование всего транзитного трафика (кто, куда, во сколько).

Хотя-бы, вычислить весельчака можно будет.

> Хотя-бы, вычислить весельчака можно будет.
Ставлю $10 на то, что весельчаком окажется генеральный директор (или персона входящая в узкий круг столь же широких лиц), качающие кряки и не вылезающий из порнушки.

Целостность картины с «засланным казачком» рушится из-за:

До админа даже дома добрались, нагнув ему 2 компа.

Либо админ таскал домой флешки?

> Везде роутеры с закрытыми по всей видимости портами на вход.

Воткнуть между аплинком и самым «верхним» роутером в конторе какую-нибудь коробочку с NAT и НЕ прокидывать внутрь ничего. Один-два дня без удалённой админки поживут, я думаю? Интернет на контору больше 10 мбит редко бывает, прокачает любая дешёвая железка. Это сразу срежет всякие варианты типа knockd и прочие неожиданности на роутерах.

KISовский фаервол на клиентах ничего не говорит по поводу левых соединений? Это единственный способ выловить самописные трояны не берущиеся антивирусами.

Есть ли какой-то удалённый доступ? RDP на рабочие компы и подобное...

Админ постоянно сидит с правами доменного админа, разумеется?

Наглядный пример того, что вендовые эникейщики НЕ ПОНИМАЮТ, как работает система, которой они «управляют». Как уже произносилось, это следствие «интеллектуальных технологий», которые якобы заменяют человека.

>Наглядный пример того, что вендовые эникейщики НЕ ПОНИМАЮТ, как работает система, которой они «управляют». Как уже произносилось, это следствие «интеллектуальных технологий», которые якобы заменяют человека.

Хорошо сказал. Правда, свою роль играют и мелкомягкие индусы, пишущие код за жрат, и наплевательское отношение мелкософта к безопасности, и многое другое... но названная причина является одной из наиболее значимых.

Впрочем, некоторые линуксовые дистростроители (не будем показывать пальцем) тоже стремятся к таким «интеллектуальным технологиям», снижающим минимальный уровень знаний и IQ для админа. Печально.

Самое страшное, что методы работы с домашним десктопом напрямую переносятся в промышленное окружение.

Типа: lvm, selinux, множество разделов, сложные пароли, не работать под рутом и т.д. и т.п. — есть лишние сущности и на домашнем компе не нужны, а в дальнейшем такой Одмин и на производстве также строит систему.

100 % что кто-то из своих, у меня такое было....тоже не могли понять причину и потом чисто случайно нашОл

Трафик мониторил? Откуда были входящие запросы непосредственно перед, гм, «уничтожением данных»? А потом брать паяльник и отрабатывать человеческий фактор.

Насколько я сейчас в курсе у админа просто не хватает времени на что-то иное кроме восстановления работоспособности сервера, который постоянно валят. Последний раз кстати нагнули 2008 сервер и вроде как продолжают.

Инфой я человека снабдил, но походу он не из тех, кто предпочитает «лучше день потерять, потом за час долететь» (ц), хз чем все кончится...

И чего? До сих пор валят? Кстати, а аппаратный админский интерфейс сервака куда смотрит?

На серваке может быть хороший руткит, который переживает переустановку системы.

А скорее всего, в конторе завелась крыса. Блокирование съемных устройств еще никому не вредило. Повальное отлучение от прелестей глобальной сети тоже.

Чем дело то закончилось ?

>безопасность в динуксах выше с меньшей дырявостью.

Не факт. Да и если захотят, то линуксы не спасут.

> Знакомый чел админит в конторе и уже месяц тщетно пытается противостоять заказным взломам извне.

КО подсказывает, чем ниже квалификация и объем мозга, тем интереснее истории про заказные взломы. На конкурентов ведь можно списать все что угодно. Из злые мысли и коварство не подлежат сомнению.