Вообщем такая беда.
Сеть из 18 компов вынь98/ХР
Сервер:две сетевые карты (Реалтек)
Интернет соеденение:adsl128 kb/s
Софт для соеденения с провом:EnterNet300
На серваке:winNT sp6a,all updates.
MS Proxy 2.0
Norton Antivirus Corporate edition 7.**

В один прекрасный день сервер кто то удалил извне.
Ничего нет : c ,d,e,f  всё пустое.
Как атакующему удалось это сделать?
Что мне следует сделать,чтобы в следующий раз такого не было?
Антивирус ловил какие-то файлы типа wwsfsadf.exe в папке:c:\winNT\system32  а так же в startUp .

Посоветуйте что мне следует предпринять,чтобы такое не повторилось.Какие програмы установить? Какие порты закрыть ?

Очень важно ,помогите пожалуста.

Вообще-то этот вопрос для "Информационной безопасности".
а как вы загружаете машину если системный диск пуст? может, с правами что-то не так?

обязательно установить firewall, последний сервис-пак и патчи.
Задать пароль админа посложнее.

Лучше открыть нужные, а остальные - запретить.
В NT4 были зачатки фильтрации пакетов, на первое время можно запретить TCP соединения по всем портам, кроме 80,21,25,110 (на внешнем интерфейсе естесственно).



[s]Исправлено: DAnG, 8:46 10-06-2004[/s]

Если у тебя сервер имеет прямой выход в инет, то я бы все-таки посоветовал поставить Linux (..Кесарю - кесарево...). У него профиляция в эту сторону лучшее уложена :biggrin:
А как к тебе залезли на сервер, это уже история для сыщиков, к тому же нет 100% гарантии, что это не кто-нибудь изнутри сетки. P.S. а на счет Линуха подумай, у меня такая же ситуация, долго решал, чего ставить 2003 для инета и почты и линух. Но здравый смысл победил.

Serhio Archimed
а почему Linux, чем FreeBSD плох??? ;)

Действительно, если есть лишняя машинка i486 (монитор к ней необязателен), то лучше шлюз в инет делать на ней. Естесственно на *nix-ах.

да FreeBSD рулит, но и винда ничем не хуже:)) ... тем более для локалки с 18 компами:)) ... у меня сервак год на 2000 стоит и как шлюз, почтовик и web-сервер ... ни одного взлома, даже ниодной вирусаги небыло ... хотя если сеть из 486-х, то конечно без FreeBSD никуда:))

DAnG
Я винчестер подсоеденил к другому и посмотрел что и как .Выяснилось что ничего нет.

НSerhio Archimed
что это не кто-нибудь изнутри сетки
Изнутри 100 % не кто. У меня на клиентских машинах всё закрыто .
DAnG
Что посоветуешь в моей ситуацией ? с моей локалкой?
Какое фаер ставить ?

Если Unix то я не знаю... я в нем чайник...
А под виндой я юзаю Winroute Firewall 5.1.10(6.0.0 пока глюковат). задраил все порты кроме 80, 53, 110, 25 и можно идти пить пиво...
только там с кряками надо поосторожнее(это я в пользу Unix:) )

zhulik
вот веточка из безопасности

zhulik
Ну а восстановить не пробовал? Тогда хоть логи посмотришь. ИМХО пока это всего-лишь ничем не подкрепленный ужастик (по поводу "из-вне").

Greyman
Я точно знаю что извне. Так как в локалке я юзеров всех знаю.
И это уже второй раз.
Первый раз атакующий установил софт :
Daemon Mini Remote Control
Каким то образом залез  и установил прогу. Я смотрел IP в логах этой проги чувак по ходу был из америки.


Добавлено:

DAnG

Я уже там был прежде чем тему создавать.