Alexnik Posted December 6, 2006 Posted December 6, 2006 Вот такая вот ситуация: есть куча сегментов по городу, в каждом сегменте биллинг (PC с ОС Linux + billing stargazer + ipcad) ... В одном сегменте (недавно созданном) резко прекращаеться инернет и все службы ... звоним вышестоящему провайдеру , а там говорят приезжайте срочно ваш сервер "арестован" СБУ (служба безпасности украины) по постановленью пррокурора (сказали поломали какойто вебсайт через наш белый ip) уже второй день не можем снять статистику пользователей (сами виноваты что постоянно не бекапили но разве за кучей сегментов услидишь), потом в итоге их специалист с (от нашей стороны помощью нашего админа) не нашел ничего что касаеться этого взлома ... при этом !!!! нам не говорят вообще не время взлома не ip атакованный с нашей сети :( советуйте что можите но в рамках Украмны :( Боюсь как бы не начали дальше все корявить (СБУ в смысле) ... Вставить ник Quote
itl2044 Posted December 7, 2006 Posted December 7, 2006 Что значит "арестован" ???? Акт изъятия владелец сервера подписывал? Прокурор постановлений на арест не дает, это может сделать только СУД. В каком городе Вы проживаете? Вставить ник Quote
nuclearcat Posted December 7, 2006 Posted December 7, 2006 (edited) оранжевая :-) Первое - найти адвоката. Иногда желательно не их "бывших" ментов и с нормальной репутацией. Edited December 7, 2006 by nuclearcat Вставить ник Quote
Sirco Posted December 7, 2006 Posted December 7, 2006 Позвоните спросите в чем дело , помогите им разобраться в данной ситуации . Скорее всего с другой области пришла "закладная" на ваш IP , от они сгаряча и "арестовали" ваш комп - что в принципе не очень правильно .... ибо только хазяин техники может помочь разобраться в происходящем, тойсь без вашей помощи им не разобраться - правда может они хотят просто наказать кого попадя и "отчитаться о проделанной работе". Странно только что вы не знаете кто вами занимаеться , в нашем селе - практически все провайдеры знакомы с сотрудниками данной организации ... Вставить ник Quote
yrida Posted December 7, 2006 Posted December 7, 2006 Изимают по черному только когда открито уголовное дело! если оно октрито тогда и грубет все и везде даже в банках и неволнует некого и компенсации 0 Остальное только по суду Вставить ник Quote
itl2044 Posted December 7, 2006 Posted December 7, 2006 Бред! Изъятие техники возможно ТОЛЬКО по постановлению суда, и ТОЛЬКО у владельца, при понятых, с составлением акта изъятия. Если хоть один из пунктов был нарушен - обращайтесь в управление внутренних дел в Вашем регионе по телефонам горячей линии. Ежедневные отчеты по работе этих номеров ложатся непосредственно к начальникам управлений на стол каждое утро, и они ДЕЙСТВИТЕЛЬНО проверяются. Вставить ник Quote
Korj Posted December 7, 2006 Posted December 7, 2006 Вообще что-то непонятно - провайдер вышестоящий знает про их сервер в каком-то захолустье, а сами они не в курсе! СБУ опять же каким-то образом связала какой-то IP-адрес с каким-то подвалом где стоит этот сервер?! Адрес подвала был в IP зашифрован или как?! И при этом никто ничего не сказал самому владельцу?! По-моему Вас просто "развели": как минимум украли у Вас сервер, как максимум выбивают Вас из того района. И уж действительно не на форум в таких случаях обращаются, а в официальные заведения, начиная с того-же СБУ. Но если б они были к этому причасны, Вы, Alexnik, давали б показания, а не по форумам лазили imho, ну как минимум имели б повестку на руках... Вставить ник Quote
Alexnik Posted December 7, 2006 Author Posted December 7, 2006 Фуххх ... тепрь попробую подробнее (2 дня катались в СБУ чтобы уговорить слить базу клиентов) 1. Сервер наш стоял у крупного провайдера (с провайдером договор) 2. Все акты изьятия подписывал вышестоящий провайдер (так как наш сервер находился на их узле. (Когда мы приехали то сервер лежал уже в коробке опечатанный) 3. Нашему провайдеру приехали и спросили кто есть такой ваш IP *.*.*.* провайдер нас чесно слил что вот тот ящик в стойке :) и есть такойто IP :( СБУ предьвило им постановление прокурора про (никак не выучу эти блатные их слова) на тему изьятия для выяснения (следствия) ... 4. Всех неоходимых по этому сегменту документов еще нет (в процессе) так что выеживаться нам по закону есть только на 50% с чем ... (боимся других проблемм) 5. Просто непонятно по чему не можем добиться IP атакованный и дату от СБУ :( Сами бы уже потихоньку разобрались бы , хотябы знали что за напасть ... А то так до сих пор и сидим не знаючи ниче ... Просто не знаем чего ждать дальше :( Вставить ник Quote
Tail Posted December 8, 2006 Posted December 8, 2006 Alexnik, еще раз - вас РАЗВЕЛИ. прокурор постановлений на изьятие мат. ценностей не дает. второе, если ваше оборудование находится на чужой площадке по договору (как вы об этом говорите) то у вас ДОЛЖЕН быть еще и договор ХРАНЕНИЯ в котором четко указано, что лицо, на чьей площадке размещено ваше оборудование несет полную материальную ответственность за сохранность оборудования и по-большему счету вас волновать не должно кто там "изьял" и на каких основаниях. третье, хранитель вашего железа не имеет ни малейшего права передавать НЕ СВОЕ железо кому-то без официального и подтвержденного вами уведомления. Вставить ник Quote
Tail Posted December 8, 2006 Posted December 8, 2006 и еще, почитайте закон о милиции и о оперативно-розыскной деятельности. как ни странно - для ИТ архиважные вещи :) Вставить ник Quote
yrida Posted December 8, 2006 Posted December 8, 2006 Та небыло скорее всего некаких договоров кому они надо то :) а в целях следствия щя можно творить шо угодно и до одного места законы шо забыли кто к власти пришол что ль. Вставить ник Quote
EvilShadow Posted December 8, 2006 Posted December 8, 2006 Та небыло скорее всего некаких договоров кому они надо то :)а в целях следствия щя можно творить шо угодно и до одного места законы шо забыли кто к власти пришол что ль. Вот-вот, уже два года бардак.А может не будем оффтопить? Вставить ник Quote
itl2044 Posted December 8, 2006 Posted December 8, 2006 Ну, господа, все не так плохо, как может казатся. Мне например, для проведения опративно-розыскных действий, чтобы получить распечатку звонков сотового телефона и его местонахождения в момент звонка - необходимо получить постановление суда. И в "левак" я суд обойти ну ни как не смогу. Изъятие офисной вычислительной техники тоже производится ТОЛЬКО по постановлению суда, в присутствии владельца, и понятых. Если я войду в офис, отберу компьютер, но у меня не будет постановления суда на данные действия, то _Репешко_ мне голову открутит уже минут через 40, и то, что от меня останется - пойдет сдавать форму и писать рапорт. Вставить ник Quote
Sirco Posted December 8, 2006 Posted December 8, 2006 Я думаю что все происходило так . Ваш сервер взламали . Из Вашего сервера сделали нападение на какойто следующий сервер в интернете . На следующем сервере обнаружили данный взлом и обратились в службу . Служба направила запрос в вашу обласную службу. А те в связи с отсутствием специалистов , опечатали ваш ящик до выяснения . И несколько слов по разбирательству - если Вам будет возможность с этим всем разбираться . Внимательно посмотрите логи . Как правило троян после инсталяции стирает все логи . тойсь можно установить когда ваш сервер взломан. Дальше поищите по директориям - цель поиск файлов которые были созданы с предполагаемым временем взлома или позже. А также ищите файлы с измененными атрибутами . Также поищите саму инсталяцию трояна. я думаю вы там найдете много интересного а также адрес откуда произошел взлом .... Сам два раза разбирался в таких троянах - правда без всяких катаклизмов . Вставить ник Quote
Alexnik Posted December 8, 2006 Author Posted December 8, 2006 Я думаю что все происходило так .Ваш сервер взламали . Из Вашего сервера сделали нападение на какойто следующий сервер в интернете . На следующем сервере обнаружили данный взлом и обратились в службу . Служба направила запрос в вашу обласную службу. А те в связи с отсутствием специалистов , опечатали ваш ящик до выяснения . И несколько слов по разбирательству - если Вам будет возможность с этим всем разбираться . Внимательно посмотрите логи . Как правило троян после инсталяции стирает все логи . тойсь можно установить когда ваш сервер взломан. Дальше поищите по директориям - цель поиск файлов которые были созданы с предполагаемым временем взлома или позже. А также ищите файлы с измененными атрибутами . Также поищите саму инсталяцию трояна. я думаю вы там найдете много интересного а также адрес откуда произошел взлом .... Сам два раза разбирался в таких троянах - правда без всяких катаклизмов . Спасибо Sirco я вас глубоко в технике уважаю .. особенно начиная от 900AP+... но тут боюсь в другом дело так как : 1) На всех биллингах изначально стоит политика iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP а политика -j ACCEPT даеться только юзверям авторизовавашимся ... и + ip с которых я захожу по ssh а по юзверям ведеться подробная статистика ... Так что я думаю варианты взлома резко ограничены узким кругом .... Вставить ник Quote
Alexnik Posted December 8, 2006 Author Posted December 8, 2006 Ну, господа, все не так плохо, как может казатся.Мне например, для проведения опративно-розыскных действий, чтобы получить распечатку звонков сотового телефона и его местонахождения в момент звонка - необходимо получить постановление суда. И в "левак" я суд обойти ну ни как не смогу. Изъятие офисной вычислительной техники тоже производится ТОЛЬКО по постановлению суда, в присутствии владельца, и понятых. Если я войду в офис, отберу компьютер, но у меня не будет постановления суда на данные действия, то _Репешко_ мне голову открутит уже минут через 40, и то, что от меня останется - пойдет сдавать форму и писать рапорт. Спасибо Вам утешили (хотя сам вам и грубил немного на счет анти-WIFI клубов ... но каждый мыслет по своему)... Отдали нам базу клиентов на CD_R в непонятном немного виде ... кто сталкивался с разбиением gzip архива на несколько файлов (проблемма FAT32 - не более 2 Гб файл!!!) ... И еще тут мне твердят противоричивые истины на счет того что говрит itl2044 - что при раслледований любого дела ( даже административного) им достаточно своих правомочий чтобы изымать технику ради следовательских действий ... И вопрос к itl2044 - какие документы и вкаом виде должны предьявлять сотрудники СБУ при обыске (изьятие техники, и.т.д) вариант а) Офис фирмы б) Домашний адрес плиззз ... Вставить ник Quote
itl2044 Posted December 8, 2006 Posted December 8, 2006 1. Постановление суда об изъятии техники, для оперативно-следственных действий (в постановлении должна быть указана причина изъятия, номер дела) 2. Изъятие производится ТОЛЬКО в присутствии понятых, с актом ПОЛНОЙ описи изымаемого оборудования. В случае, если изъятие происходит в офисе, то обязательно присутствие материально ответственного лица - представителя офиса (директор, главный бухгалтер) Если изъятие происходит дома, то обязательно присутствие владельца техники. Если при процедуре изъятия происходили какие-то противоправные действия, то об этом нужно написать в акте изъятия. Корешок акта изъятия должен быть выдан на руки владельцу техники, в корешке должны быть указаны фамилия, должность и звание изымающего. Не для протокола: Против ветра конечно ни кто писать не будет, так как у комитета есть достаточно широкие полномочия, однако УВБшники могут даже доплатить за компромат на комитет. В Вашем случае видно, что с Вашим сервером работать некому (к примеру в Харьковском регионе всего 2 специалиста в области высоких технологий, один из которых - Ваш покорный слуга:)) Или же нет задачи раскрыть противоправные действия против 3го лица, а просто имеет место «просьба» прикрыть Вас, как провайдера. Ставьте резервный сервер на биллинг, и лучше не у провайдера, а локально, у себя в офисе. Конкретно в Вашем случае совет такой: Разговор в присутствии Вашего адвоката (с которым заключен договор на ведение Вашего случая) со следователем СБУ должен будет прояснить некоторые аспекты Вашего дела. Если у Вас есть свидетельство ЧП на Интернет и локальные сети, то Вы в праве требовать возмещения понесенного ущерба, из за неправомерных действий сотрудников СБУ. Оперативную помощь по решению данного конфликта Вы сможете получить по телефонам доверия в Вашем регионе. Вставить ник Quote
Sirco Posted December 9, 2006 Posted December 9, 2006 Я не знаю всех законов которые регламентируют работу органов . Но как специалист в даной области я бы предполагал такой вариант разбирательства в похожих делах . 1. При обнаружении органами какихто противоправных действий со стороны компютера пренадлежащего лицу Х. В присутствии лица Х создаються 2 копии данного диска . Оригинал опечатываеться и с подписями владельца и прдставителя органов храниться как вещественное доказательство , и его вскрытие возможно только в присутствии обоих сторон. 1 екземпляр копии забирает органы 2 екземляр копи забирает владелец. Обе стороны исследуют данные , и находят или не находят факт противоправных действий. К чему это я - я не думаю что , ребята хоть малось в чем то виноваты . Максимум что им можно припаять это халатность в защите компа - что вообще нашему законодательству вообще не извесно. Если провести аналогии: Вы хранили автомобиль в гараже . Злоумышлинники открыли гараж , и с помощью вашего автомобиля ограбили банк, и поставили автомобиль в гараж. Приехали органы и изяли ваш автомобиль, и обвиняют вас в ограблении банка , так как есть сведители которые опознали ваш автомобиль. 2 Alexnik Про iptables А никто не говорит что это было сделано вашими пользователями . Они в Вас вмеру тупоголовые ;-) Это сделано пользователем диалапа с Румынии или Австралии (например) Транзитом через взломанные машинки в Швеции - Франции - Англии - Америки - аж потом шли Вы. Если интересно могу в личной беседе рассказать подробности , и поделиться исходниками троянов .... ;-) само собою что это будет только с людьми которым я доверяю - в данном случае itl2044 , Alexnik если они этого захотят. А вообщето 3 мировая война уже началась - и идет захват компов по всему миру .... Вот что у меня выдала команда ---- cat /var/log/secure | grep -c "Failed password for ROOT" 110 ----- cat /var/log/secure | grep -c "Failed password for " 959 --- Это за эту неделю. другими словами - у меня зарегестрировано 959 попыток взлома. ;-) Самое интересное что руту по SSH у меня запрещено заходить. Вставить ник Quote
sirmax Posted December 10, 2006 Posted December 10, 2006 Sirco Задача у человека не трояна найти - отмазаться бы ИМХО задача органов - "повесить" на кого-то проблему, отрапортовать о раскрытии. (это исключительно мое мнение, очень надеюсь что не прав в отношении "органов") Вставить ник Quote
ayamb Posted December 10, 2006 Posted December 10, 2006 Если провести аналогии: Вы хранили автомобиль в гараже. Злоумышлинники открыли гараж , и с помощью вашего автомобиля ограбили банк, и поставили автомобиль в гараж. Приехали органы и изяли ваш автомобиль, и обвиняют вас в ограблении банка , так как есть сведители которые опознали ваш автомобиль. Если Вы не подали заявление о пропаже автомобиля вообще, то у Вас будет некоторая проблема. Если заявление подали немного рановато, то эта проблема увеличивается. Если заявление подали немного поздновато, то это всего лишь чуть хуже, чем подать его вовремя... Но притащеная ворами обратно в гараж после ограбления бибика, - это не проблема, - это достаточно раскормленная задница... Вставить ник Quote
Tail Posted December 11, 2006 Posted December 11, 2006 Если Вы не подали заявление о пропаже автомобиля вообще, то у Вас будет некоторая проблема. Если заявление подали немного рановато, то эта проблема увеличивается. Если заявление подали немного поздновато, то это всего лишь чуть хуже, чем подать его вовремя... Но притащеная ворами обратно в гараж после ограбления бибика, - это не проблема, - это достаточно раскормленная задница... несколько неудачное сравнение... в любом случае, чтобы запахло задницей нужно доказать УМЫСЕЛ. а по своему опыту общения с сотрудниками СБУ могу сказать лишь то, что народ там абсолютно вменяем и адекватен. Вставить ник Quote
Sirco Posted December 11, 2006 Posted December 11, 2006 Пару слов насчет автомобиля - у меня автомобиль стоял в гараже и про его отсутствие я не знал ... какие заявления. Может и не удачное сравнение - по много аналогий прослеживаеться . 1 Если находиться троян - то ни о какой дальшем следствии не может быть и речи . Ибо тут вопрос международных отношений .... Я тоже могу сказать что сотрудники народ достаточно вменяем и адекватен. Но тут весь вопрос в том насколько сотрудники есть специалистами в области интернета . Тойсь пока этим делом не займуться специалисты в области интернета ни о какой вменяемости и адекватности не может быть и речи. Что на мое мнение в первую очередь надо добиваться проведения следствия специалистами ... А судя по действиям службы - скорее всего это не взлом а скорее всего к примеру : произошел какой-то наезд(угрозы) на президента одного из государств (еще раз подчеркиваю - _например_) в результате с службы этой страны пришел запрос к нашей службе с просьбой разобраться , так как в недалеком времени предполагаеться приезд данного президента в Украину .... вот и копают Вставить ник Quote
ayamb Posted December 11, 2006 Posted December 11, 2006 Пример действительно не очень удачный,.. на что и намекалось... :/ ... по своему опыту общения с сотрудниками СБУ могу сказать лишь то, что народ там абсолютно вменяем и адекватен.Именно... Это тут некоторые,.. напару,.. пытаются причислить их к идиотам, приводя эту аналогию... Какой нормальный сотрудник не будет сомневаться в том, что:1. Хозяин не заметил того, что его бибикой пользовались? Заводили ее без ключа? Открывали и закрывали гараж нештатным способом? Доливали бензин?.. 2. Использовавший бибику рисковал, возвращая ее обратно, только исключительно ради шутки над незнакомым ему автолюбителем?.. P.S. "Умыслом" в досудебном разбирательстве занимаются адвокатура и прокуратура,.. в детективах и боевиках. Вставить ник Quote
Sirco Posted December 11, 2006 Posted December 11, 2006 А хазяин не видел "бибику" так как : редко зимой ходит в гараж . а после хищения и возврата - "бибика" была изьята как вещественное доказательство сотрудниками службы - без уведомления/присутствия хазяина. Так что все очень даже похоже . Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.