» »

Hekerji - vdor v PC realno

Hekerji - vdor v PC realno

«
1
2 3

Vazelin ::

Mislim, da se precenjuje moč hekerjev.

Lahko kdo, ki se spozna na problematiko pove odgovor na naslednje:
Ali mi lahko dober heker vdre v PC z Windows 10, ki je zaščiten s precej močnim naključnim geslom, ki ima nameščena orodja Nod32 in ki ma odprte več ali manj porte, kot po inštalaciji Windowsev? Ima tudi zadnje posodobitve. Se sploh da vdreti v tak PC brez fizične interakcije?

Zanima me. Meni se to zdi nemogoče.

Hvala.
I got 99 problems but 4 usd XTZ ain't one...
  • spremenilo: Vazelin ()

mailer ::

Če govoriš o ljudeh, ki to delajo na dnevni bazi zagotovo.
Asus B560-I, Intel 11500, Corsair 16GB 3200MHz

shadeX ::

Seveda. Največkrat te pa izda lastna neumnost. Lep primer, aktivnost zazipanega virusa

polozweii je izjavil:

Predlani sem kupil neki programček (ne inštalira se ampak deluje direktno iz mape), ki je bil verjetno narejen v rusiji in antivirusni zazna virus.
Računalnik do danes ni nagajal. Mapo sem vseeno zazipal in bom odzipal le ko ga bom rabil program.


Drugače pa nisi tako pomemben, da bi ti kdo želel brskat po računalniku.

Zgodovina sprememb…

  • spremenil: shadeX ()

Vazelin ::

Recmo da ne klikaš wet_pussies_from_Bulgaria.zip in ne klikaš na "DANGER ALERT" v gmailu v mailih. In uporabljaš PC samo za surfanje in podobna lite opravila. Kako nekdo pride notri, če imaš nek res random pass?
I got 99 problems but 4 usd XTZ ain't one...

zavtom ::

Iransko elektrarno so infectali pa tudi na net ni bila prikloplena...

Vazelin ::

zavtom je izjavil:

Iransko elektrarno so infectali pa tudi na net ni bila prikloplena...

Dobro samo to je verjetno nek inside job. Mene zanima za npr. eno zgoraj opisano kišto, ki je priklopljena v net.:D

Ima kdo kakšne dobre linke na to temo? Kjer bi bilo laično razloženo
I got 99 problems but 4 usd XTZ ain't one...

Zgodovina sprememb…

  • spremenilo: Vazelin ()

zavtom ::

Na dvorišče ti pustim infectan USB drive, ti ga pobereš in uštekaš noter, tvoja kišta se poveže na moj C&C server pa smo. Tvoj FW pa prometa na ven ne filtrira.

Vazelin ::

Nisem retard, da bom v svoj PC vštekal nek USB, ki ga najdem nekje na travi.:)) Za to bi šel v kakšno knjižnico, na faks ipd (no hard feelings)

Imo je tako kot se mi dozdeva: brez neumnosti uporabnikov ti ne more noben v OS
I got 99 problems but 4 usd XTZ ain't one...

Zgodovina sprememb…

  • spremenilo: Vazelin ()

prowb ::

V nagradni igri bos dobil usb misko, ki ima keyloger...

WizzardOfOZ ::

Vazelin je izjavil:

Mislim, da se precenjuje moč hekerjev.

Lahko kdo, ki se spozna na problematiko pove odgovor na naslednje:
Ali mi lahko dober heker vdre v PC z Windows 10, ki je zaščiten s precej močnim naključnim geslom, ki ima nameščena orodja Nod32 in ki ma odprte več ali manj porte, kot po inštalaciji Windowsev? Ima tudi zadnje posodobitve. Se sploh da vdreti v tak PC brez fizične interakcije?

Zanima me. Meni se to zdi nemogoče.

Hvala.


Ali imaš wireless miško? Že to je dovolj, da ti poberejo vse podatke.
Preveri MouseJack

Zgodovina sprememb…

  • predlagalo izbris: Truga ()

hojnikb ::

lahko je tudi kaksen hw exploit, ki te ujame... intelov ME je recimo ena taksna blackbox varjanta.

ali pa kaksne 0day exploit v tvojem najljubsem browserju

ali pa kaksna bedna ranljivost v routerju

itd itd.... entry nacinov v sistem je prakticno neskoncno in nikol nisi really varen
#brezpodpisa

Dpool ::

Uh, seveda. Preprosto dobis email od tvoje ljubice (spoofed mail), kjer ti sendne nek 9gag URL (spoofed URL, ker noben ne hovera preko URL da vidi kam ga dejansko redirecta). KO kliknes gor pa ti okuzi PC z eksploitacijo browserja (navadno ti zafejka kao cookies popup katere vsi pridno klikamo Accept, ti pa onemogocis s tem kako zascito ipd).

Ce nekdo res zeli ti vdret ni nujno samo ena interakcija, najprej lahko poheka tvojega kolega / kolegico, ki je bolj naiven in te zvabi preko FB chata da zdljas nek file, ki je okuzen.

Mnogo vsega srecam v sluzbi in bi se cudili koliko jih nasede na mnogo naivnejse,

spegli ::

Če uporabljaš spodoben OS je težko. Eni majo pa tud Alexo.

pero50 ::

cel kup nekih teorij s ČE.. OPja zanima ČE NE... in tudi mene :D

jype ::

Vazelin je izjavil:

Ali mi lahko dober heker vdre v PC z Windows 10, ki je zaščiten s precej močnim naključnim geslom, ki ima nameščena orodja Nod32 in ki ma odprte več ali manj porte, kot po inštalaciji Windowsev?
Ja.

Vazelin je izjavil:

Kako nekdo pride notri, če imaš nek res random pass?
Ugane moje slo-tech geslo in objavi tezos-bakery.zip. Ti razpakiraš in poženeš exe.

Zgodovina sprememb…

  • spremenilo: jype ()

SeMiNeSanja ::

Zdaj, ko si povedal, da imaš NOD32, bo še toliko lažje....
Dejansko je obstajal servis na internetu, (zagotovo ni bil edini) ki ti je po naročilu predelal malware, da ga AV software ni prepoznal. Ta servis je bil za lenobe. Drugače to lahko delaš tudi sam, saj je ves potreben programje na voljo na internetu. Le malo več dela imaš, da po vsakem morfanju preveriš, če je dovolj 'premešan', da ga AV ne prepozna več.

V naslednjem koraku je treba tisto škodljivo kodo še zapakirat v nekaj... no, zdaj, ko je Jype že zblebetal o zip-ih in exe datotekah, ti bomo pač zapakirali v docx, pfd ali kar v malo flash prezentacijo.

Naslednji korak je dostava.... Ta ne sme zbujati suma in te prepričati, da boš brez da bi kaj slutil potrdil še kakšno 'butasto vprašanje', če bi se že pojavilo...
No, lahko se ti pošlje mail.... sam kaj zlomka, ker nimam tvojega naslova. No, imamo pa zasebna sporočila. Notri ti nekaj nablodim "poglej si ta video, kako enostavno shackajo ljudem računalnike!" in prilepim ustrezen link. Se boš vzdržal, da bi kliknil na link?
Pogosto v prvo ne gre....pa poskusiš še par drugih prijemov. Prej ali slej se praktično vsakega pretenta, da bo naredil prvi korak - kliknil na link. Samo dovolj prepričljiv moraš biti. Bolje, ko nekoga poznaš, lažje mu boš podtaknil vabo. Potem pa rabi samo še zagrizniti. Ko enkrat zagrizne, je že tvoj. Tebi prileti msg npr. na irc ali twitter in samoše zaženeš svoj server (če ga nimaš že ves čas prižganega) da se tvoj trojanček lahko poveže s teboj. No, lahko pa tudi vse skomunicirata preko IRC ali Twitterja. Možnosti in variant je toliko, kot ti dopušča fantazija.

Druga opcija... da si z žrtvijo na isti mreži.... zaženeš temeljit scan... orodja za to so na voljo, samo uporabljati jih moraš znat. Ta ti bodo lepo povedala, katere ranljivosti imaš, potem pa samo še naložiš svojo orodjarno in direktno napadeš to ranljivost.
Načeloma že mislimo, da imamo 'vse posodobljeno'....a vraga, vedno se najde kakšna reč, ki sicer ima kakšno znano ranljivost - ampak nihče ni naredil 'krpe' zanjo.

Kako priti na isto omrežje? Si oboževalec WiFi omrežij? Žica fuj? (kar naprej to poslušamo...). No, v takem primeru je stvar enostavna. Zrihtaš si en Pineapple (če nimaš tistih dobrih 100$, si ga pa sam narediš) in s parimi kliki sfoliraš SSID tvojega accesspointa. Pošlješ še deauth pakete, da te vrže s tvojega dol in z odprtimi rokami letiš na lažni, hudobni accesspoint.
Od tukaj naprej si že pečen, ker ti lahko karkoli vsilijo v tvojo komunikacijo. Tudi malware.

Poslovna omrežja so ponekod totalna katastrofa. Celo na hodniku najdeš delujoče vtičnice. V skrajnem primeru odklopiš kakšen accesspoint in se namesto njega priključiš z lastnim accesspointom. Potem se samo še nekam spraviš, kjer imaš domet . Če pa namesto accesspointa priklopiš kakšen RPI, pa lahko greš domov in zadevo krmiliš kar preko interneta.

Ko imaš barabo enkrat na lokalni mreži, imaš presneto velik problem. Dejansko te potem samo še čudež lahko reši, da se ne dokoplje do vseh tvojih podatkov - ali pa jih zgolj zakriptira in te zaprosi za par BTC (pred tem pa še poskrbi, da ti backup ne bo delal?). Boš imel večjo motivacijo za doniranje BRC-jev, če boš ugotovil, da že tri mesece nimaš uporabnega backup-a.....

Vazelin ::

Evo mojstri post od @SeMiNeSanja je to, kar spada v rubriko "Uporabno":)
I got 99 problems but 4 usd XTZ ain't one...

Saul Goodman ::

poleg vsega naštetega se na vsake toliko na internetu pojavijo še NSA hacking toolseti z že oboroženimi exploiti in PoCi, zaradi katerih so bile uspešne kripto kampanije kot je wannacry. filmske scene. predstavljaj si veselico v cybercrime svetu, ko se dokopljejo do takih bonbončkov.

Zgodovina sprememb…

poweroff ::

Kot je povedal SeMiNeSanja. Je pa tako, da večinoma bo potrebna vsaj minimalna interakcija userja. Ampak to je lahko tudi to, da odpre PDF priponko. Ker če ti nekdo pošlje prepričljiv mail s PDF priponko, jo boš najverjetneje odprl.

Aja... pa firmware na routerju imaš kaj posodobljen? ;)
sudo poweroff

Baja ::

če na mašini laufaš kakšne servise (ala wamp) se je možno tudi preko teh prebiti do masine. še posebaj če je kak stara verzija.

če ne verjameš kako hitro boti najdejo luknje, postavi odprt mail server.

showsover ::

Kako pa ugotoviš, če ti je bilo vdrto v računalnik?

Furbo ::

Ne vem a ste vsi tukaj nepismeni, stalno nabijate o nekih dostavah, usb ključkih, fizičnem dostopu..

..model sprašuje, če ga kdo lahko poheka prek spleta. Brez usb ključkov, klikanja na priponke itd.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

showsover ::

Furbo je izjavil:

Brez usb ključkov...

A tudi, če formatiraš usb ključek, ti lahko vdrejo? Potem sploh ni pametno od kogarkoli izposoditi (ali komurkoli posoditi) usb ključka, če te lahko (namerno ali nenamerno) okuži? Saj tudi zato me zanima, kako ugotoviti, če ti je že bilo vdrto v računalnik ali če imaš kakšen hud zevajoč backdoor.

Zgodovina sprememb…

  • spremenilo: showsover ()

Mehmed ::

Ker ste lih on fire, kako pa ves da je racunalnik brezhiben, ko ti v trgovini ali na servisu nalozijo winse?
Je antivirusni dovolj ali je kako boljse orodje za preverit stanje?

c3p0 ::

(Skoraj) popolnoma varen računalnik je le izklopljen, v trezorju.

Če je dobro skrito, ne boš zvedel. Če grejo dovolj low level, tudi reinstall OS ne pomaga.

Sicer pa je mnogo večja verjetno vdora preko social engineeringa. Preberite si analizo Bitstamp vdora kot en dober primer.

jype ::

SeMiNeSanja je izjavil:

V naslednjem koraku je treba tisto škodljivo kodo še zapakirat v nekaj... no, zdaj, ko je Jype že zblebetal o zip-ih in exe datotekah, ti bomo pač zapakirali v docx, pfd ali kar v malo flash prezentacijo.
"Virusa", napisanega posebej za Vazelina, noben AV ne bo znal ločiti od legitimnega programja.

Zgodovina sprememb…

SeMiNeSanja ::

Baja je izjavil:

če na mašini laufaš kakšne servise (ala wamp) se je možno tudi preko teh prebiti do masine. še posebaj če je kak stara verzija.

No, to in podobne zadeve sem imel v mislih, ko sem napisal
Načeloma že mislimo, da imamo 'vse posodobljeno'....a vraga, vedno se najde kakšna reč, ki sicer ima kakšno znano ranljivost - ampak nihče ni naredil 'krpe' zanjo.

Baja je izjavil:


če ne verjameš kako hitro boti najdejo luknje, postavi odprt mail server.

Ojoj, ne ga zavajati k nespodobnim dejanjem! Ga bo na koncu provider blokiral!
Sicer imajo 'home' naslovi večinoma blokiran port 25, ampak vseeno ne postavljat odprtih mail relayev.
Dovolj je že, če si za en dan pošiljaš loge routerja v en syslog server programček in si pogledaš, kaj vse nonstop preverjajo.
Zmagovalec pri meni je telnet, medtem ko je pri sosedu npr. 5678/udp - skeniranje za Mikrotik routerji, takoj za tem pa 56760/udp in tcp ter 62976/udp (iskanje kamer in kaj vem česa še). Zanimivo, da teh portov pri meni praktično ne skenirajo , pa imam kup javnih IP-jev.
Vsekakot se na vseh spiskih dokaj visoko najdejo še ssh in RDP porti, zaradi česa bi moral vsakdo še toliko bolj paziti, da nima teh storitev direktno izpostavljenih, ker jih bodo lumpi zagotovo 'zavohali' v manj kot eni uri.

_0\WA6m7Uzc ::

Mehmed je izjavil:

Ker ste lih on fire, kako pa ves da je racunalnik brezhiben, ko ti v trgovini ali na servisu nalozijo winse?
Je antivirusni dovolj ali je kako boljse orodje za preverit stanje?


Ne dovolis v trgovini nalagat windowse. Vedno zbrises karkoli je prednalozeno (Lenovo anyone?) in ponovno nalozis doma. Po moznosti ne windowse.

SeMiNeSanja ::

jype je izjavil:

SeMiNeSanja je izjavil:

V naslednjem koraku je treba tisto škodljivo kodo še zapakirat v nekaj... no, zdaj, ko je Jype že zblebetal o zip-ih in exe datotekah, ti bomo pač zapakirali v docx, pfd ali kar v malo flash prezentacijo.
"Virusa", napisanega posebej za Vazelina, noben AV ne bo znal ločiti od legitimnega programja.

Nič ne rabiš posebej zanj napisat. Samo z ustreznim programčkom morfaš obstoječi virus, dokler ga noben AV ne prepozna več.
Če bi prebral, kar sem napisal, bi tudi to videl.

starfotr ::

zavtom je izjavil:

Iransko elektrarno so infectali pa tudi na net ni bila prikloplena...


Za kritične zadeve bi morali imeti tempest opremo ter brez možnosti priklopa kakršnekoli naprave na računalnik.

SeMiNeSanja ::

Mehmed je izjavil:

Ker ste lih on fire, kako pa ves da je racunalnik brezhiben, ko ti v trgovini ali na servisu nalozijo winse?
Je antivirusni dovolj ali je kako boljse orodje za preverit stanje?

Če je prodajalec ali serviser prava baraba, ti lahko naloži trojančka, AV programu pa reče, da se moti in ta 'programček' doda med dovoljene izjeme.
Potem samo še pobriše zgodovino zaznanih virusov in zlepa ne boš vedel, da imaš nameščenega trojančka (kdo pa še preverja, kaj ima med izjemami v AV programu?). Vsaj AV se ti ne bo pritoževal čez njega.

Če ti je serviser sumljiv.... poženi kakšen tretji AV scan in se ne zanašaj na tistega, ki ga imaš nameščenega.

Oz.... če ti je serviser sumljiv.... mu sploh ne nosi računalnika. Najbolj trotlziher.

gendale2018 ::

Vazelin je izjavil:

zavtom je izjavil:

Iransko elektrarno so infectali pa tudi na net ni bila prikloplena...

Dobro samo to je verjetno nek inside job. Mene zanima za npr. eno zgoraj opisano kišto, ki je priklopljena v net.:D

Ima kdo kakšne dobre linke na to temo? Kjer bi bilo laično razloženo

ja, zavežem te za stol in tepem dokler ne poveš gesla/daš prstnega odtisa/whatever, če to ne prime nardim isto s tvojo družino, če pretep ni dovolj jih pa počasi lupim iz kože brez anestezije pri polni zavesti

med tipkovnico in pc ti dam hw keyloger ki si shrani tvoje poljubno dolgo in kompleksno geslo in je isti drek kot če imaš geslo

kupim stanovanje poleg tvojega in dam not opremo za tempest napad

(če sem state level actor), pred sosedovim mulcem si pa res dokaj varen
ja sam mali poštar, kurac mi je oštar
čuvajte se žene, bit ćete jebene

jype ::

SeMiNeSanja je izjavil:

Nič ne rabiš posebej zanj napisat. Samo z ustreznim programčkom morfaš obstoječi virus, dokler ga noben AV ne prepozna več.
Če bi prebral, kar sem napisal, bi tudi to videl.
Lažje je napisat.

Furbo ::

showsover je izjavil:

Furbo je izjavil:

Brez usb ključkov...

A tudi, če formatiraš usb ključek, ti lahko vdrejo? Potem sploh ni pametno od kogarkoli izposoditi (ali komurkoli posoditi) usb ključka, če te lahko (namerno ali nenamerno) okuži? Saj tudi zato me zanima, kako ugotoviti, če ti je že bilo vdrto v računalnik ali če imaš kakšen hud zevajoč backdoor.

Ja da ga formatiraš, ga moraš najprej vtakniti noter in že se lahko zgodi marsikaj.

Seveda te lahko okuži preko usb ključka, če ga posojaš, isto kot diskete včasih.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

showsover ::

Furbo je izjavil:

Ja da ga formatiraš, ga moraš najprej vtakniti noter in že se lahko zgodi marsikaj.

Seveda te lahko okuži preko usb ključka, če ga posojaš, isto kot diskete včasih.

Torej, kako z neko normalno gotovostjo ugotoviti, če imaš računalnik okužen?

_0\WA6m7Uzc ::

jype je izjavil:

SeMiNeSanja je izjavil:

Nič ne rabiš posebej zanj napisat. Samo z ustreznim programčkom morfaš obstoječi virus, dokler ga noben AV ne prepozna več.
Če bi prebral, kar sem napisal, bi tudi to videl.
Lažje je napisat.


Ni, ce znas spisat svoj pe encryptor, in ves kaj iscejo AVji v entrypointih. Ali pa predelas UPXov unpacker.

_0\WA6m7Uzc ::

Aja sicer je pa nemodificiran PE (razen, ce si se res potrudil, kako pises kodo, GetProcAddress z obfuskiranimi stringi na APIjih ipd) uporabiti precej neprimerno, prvic ti ga bo AV nalozil na njihove serverje za nadaljno analizo (tako se je Kaspersky zameril americanom), drugic se da pa ze iz importov kar dobro zakljuciti kaj program pocne. Tako da je encryptor danes prakticno nujen.

Zgodovina sprememb…

Vazelin ::

Jaz vedno pazim, preden karkoli klikam na jypove priponke, ki ponavadi vodijo na neko spletno mesto imenovano bou.si:))
I got 99 problems but 4 usd XTZ ain't one...

Zgodovina sprememb…

  • spremenilo: Vazelin ()

3p ::

Če si dovolj zanimiva tarča in uporabljaš generičen HW/SW, ti zelo gotovo lahko vdrejo. Če nič drugega, ne pozabi na meltdown in sorodne napade. Poheka se še infrastrukturo, da te pripravijo do prenosa želenih zadev...

Nakljužnim osebam pa se vdira le preko generičnih exploitov in njihove lastne lahkomiselnosti. Temu se pa da izogniti.

Cifix63 ::

Vazelin je izjavil:

Nisem retard, da bom v svoj PC vštekal nek USB, ki ga najdem nekje na travi.:)) Za to bi šel v kakšno knjižnico, na faks ipd (no hard feelings)

Imo je tako kot se mi dozdeva: brez neumnosti uporabnikov ti ne more noben v OS


Postavil si ezoterično vprašanje, ki je kot Rubikova kocka.
Julian Assange in tipi njegovega ranga pridejo v tvoj "varovani" Pc, kot za šalo. Če želijo seveda oz če imaš na Pc nekaj tako zelo vabljivega, pomembnega, ampak to zdaj niti ni pomembno.
Ne da se razložiti kako pridejo ampak pridejo...neki subtalent + +, skratka nerazložljivo.
Da ima dobro varovan Pc misliš pač ti ali pa mi če hočeš, oni pa ne.

Zgodovina sprememb…

  • spremenilo: Cifix63 ()

AštiriL ::

če nisi retard in ne klikaš naloži extension, ti verjamem. Iz interneta lahko pa edino fašeš kak zajeban exploit v tvoj router. Našel sem veliko exploitov za routerje in za vdor in flash na daljavo, ce imas odprt control panel, tudi, ce ke zasciten z geslom. Predvsem se pazi kabelskih modemov!!! Tisti, ki ga dobiš na telemachu ima napako, ce imas dostop do login pagea, lahko reflashas sistem in si das dostop do tvojega lana in delas mitm napade. Nikoli ne odpiraj control panela v Internet! consumer routerji so najvecje sranje, cestanejo pod 100€. V Windows/Linux machino pa je tudi z navadnim Windows Firewallom (ce uporabnik ni retard) skoraj nemogoce "shekat". Tudi ce nima gesla. Razen 0day exploiti, ki pa se fixajo po 10 urah od odkritja. Nekatere router exploite (ki niso patchani?) najdes na mojem githubu, tistega za cable modem pa ne bom izdal. lp
Ostani 127.0.0.1, ko si 0.0.0.0, nosi 255.255.255.255.

poweroff ::

Zato pa je pravilo, da takoj za ISPjev router daš še svojega in na njem ustrezno zapreš promet. DNS-e pa seveda uporabljaš svoje ali pa 1.1.1.1, 8.8.8.8, 8.8.4.4 ali podobne.
sudo poweroff

WizzardOfOZ ::

Če kdo rad svoj računalnik preverja, kdo vse se mu priklaplja na računalnik, je tukaj koda v powershellu, ki mu v html izpiše vse remote priklope v njegov računalnik:
$htmlfile = ".\Login1.html"
$LogonActivityTable = New-Object system.Data.DataTable "Logon/Logoff Activity"
$date = New-Object system.Data.DataColumn "Date",([string])
$type = New-Object system.Data.DataColumn "Type",([string])
$status = New-Object system.Data.DataColumn "Status",([string])
$user = New-Object system.Data.DataColumn "User",([string])
$ipaddress = New-Object system.Data.DataColumn "IPAddress",([string])
$LogonActivityTable.columns.add($date)
$LogonActivityTable.columns.add($type)
$LogonActivityTable.columns.add($status)
$LogonActivityTable.columns.add($user)
$LogonActivityTable.columns.add($ipaddress)

$hostname = $env:computername 
 
$startTmp = "1/1/2018" 
$startDate = get-date $startTmp 
 
$endTmp = get-date 
$endDate = get-date $endTmp 
 
$log = Get-Eventlog -LogName Security -ComputerName $hostname -after $startDate -before $endDate 

    foreach ($i in $log){ 
        # Logon Successful Events 
        # Local (Logon Type 2) 
        if (($i.EventID -eq 4624 ) -and ($i.ReplacementStrings[8] -eq 2)){ 
            # Create a Row
            $row = $LogonActivityTable.NewRow()

            # Enter Data into the Row
            $row.date =  $i.TimeGenerated
            $row.type =  "Logon - Local"
            $row.status =  "Success"
            $row.user =  $i.ReplacementStrings[5]
            $row.ipaddress = ""

            # Add the Row to the Table
            $LogonActivityTable.Rows.Add($row)
        } 
        # Remote (Logon Type 10) 
        if (($i.EventID -eq 4624 ) -and ($i.ReplacementStrings[8] -eq 10)){ 
            # Create a Row
            $row = $LogonActivityTable.NewRow()

            # Enter Data into the Row
            $row.date =  $i.TimeGenerated
            $row.type =  "Logon - Remote"
            $row.status =  "Success"
            $row.user =  $i.ReplacementStrings[5]
            $row.ipaddress = $i.ReplacementStrings[18]

            # Add the Row to the Table
            $LogonActivityTable.Rows.Add($row)
        } 
         
        # Logon Failure Events 
        # Local 
        if (($i.EventID -eq 4625 ) -and ($i.ReplacementStrings[10] -eq 2)){ 
            # Create a Row
            $row = $LogonActivityTable.NewRow()

            # Enter Data into the Row
            $row.date =  $i.TimeGenerated
            $row.type =  "Logon - Local"
            $row.status =  "Failure"
            $row.user =  $i.ReplacementStrings[5]
            $row.ipaddress = ""

            # Add the Row to the Table
            $LogonActivityTable.Rows.Add($row)
        } 
        # Remote 
        if (($i.EventID -eq 4625 ) -and ($i.ReplacementStrings[10] -eq 10)){ 
            # Create a Row
            $row = $LogonActivityTable.NewRow()

            # Enter Data into the Row
            $row.date =  $i.TimeGenerated
            $row.type =  "Logon - Remote"
            $row.status =  "Failure"
            $row.user =  $i.ReplacementStrings[5]
            $row.ipaddress = $i.ReplacementStrings[19]

            # Add the Row to the Table
            $LogonActivityTable.Rows.Add($row)
        } 
         
        # Logoff Events 
        if ($i.EventID -eq 4647 ){ 
            # Create a Row
            $row = $LogonActivityTable.NewRow()

            # Enter Data into the Row
            $row.date =  $i.TimeGenerated
            $row.type =  "Logoff"
            $row.status =  "Success"
            $row.user =  $i.ReplacementStrings[1]
            $row.ipaddress = ""

            # Add the Row to the Table
            $LogonActivityTable.Rows.Add($row)
        }  
    } 

    $style = "<style>"
    $style = $style + "BODY{background-color:#F2F2F2;}"
    $style = $style + "TABLE{border-width: 1px;border-style: solid;border-color: black;}"
    $style = $style + "TH{border-width: 1px;padding: 0px;border-style: solid;border-color: black;background-color:#BDBDBD}"
    $style = $style + "TD{border-width: 1px;padding: 5px;border-style: solid;border-color: black;background-color:#D8D8D8}"
    $style = $style + "</style>"

    $LogonActivityTable | Select-Object Date, Type, Status, User, IPAddress | ConvertTo-Html -head $style -body "<h2>Logon Activity:</h2>" | Out-File $htmlfile

Zgodovina sprememb…

  • predlagalo izbris: bfranklin ()

SeMiNeSanja ::

To, kar s to skripto izpišeš, je cca. 10% vseh 'povzav'.
Tiste najbolj 'nevarne' gredo mimo tega logon/logoff procesa in jih vidiš kot neke lokalne servise z višjim privilegijem... nič remote IP in podobne informacije.

WizzardOfOZ ::

To je za izpis rdp in navadnih logon/logoff procesov. Tistih grdih, ki gredo mimo tega, tukaj itak ne moreš iz tega brati prebrati. Je pa dovolj, da vidiš recimo če se v službi sistemci priklapljajo na tvojo mašino in kej kvačkajo.

Zgodovina sprememb…

  • predlagalo izbris: bfranklin ()

poweroff ::

Bolj pomaga ena mašina vmes na networku in analiza prometa.
sudo poweroff

AštiriL ::

kajpa netstat -ae?

Matthai: jaz ne uporabljam telemachovega cable routerja sploh. Skopiral semmac in TFtP shranjejo geslo, tako da dela. v tem routerju nisem nasel exploitov. DNS pa arnesov, ker je se najhitrejsi (afaik dela iz 31.15.230.186/16)
Ostani 127.0.0.1, ko si 0.0.0.0, nosi 255.255.255.255.

poweroff ::

AštiriL je izjavil:

kajpa netstat -ae?

Si prepričan, da ti bo pokazalo realno stanje, če je mašina okužena? Zunanjo napravo rabiš.
sudo poweroff

Saul Goodman ::

tako je, najbolj je zadevo nadzorovat z drugega računalnika, v svojem heking bagu pa je fajn, da maš še en passive network tap, kot je tale lan star.

WizzardOfOZ ::

Postaviš honeypot v virtualki, pa vsak dan narediš backup vhdx datoteke in jo primerjaš s tisto, ki si jo v osnovi postavil, pa izločiš vse zapise na novo in tako pobereš vse skripte in programčke, ki jih je heker pustil na mašini.

Če kdo rabi imam en cel user profil iz windows 7 od enega takega hekerja, skupaj z vsemi skriptami, programi in logi, ki jih je uporabil in izdelal, ko je udrl v sistem.
Skripte so pa za pobiranje gesel iz različnih podatkovnih baz, gesel iz samega sistema, ...

Zgodovina sprememb…

  • predlagalo izbris: bfranklin ()
«
1
2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Če nekdo izve MAC naslov tvoje tablice, ali lahko vdre vanjo ali v tvoje brezžično om

Oddelek: Informacijska varnost
326946 (5408) nurse013
»

Ojačanje zaščite domačega omrežja (strani: 1 2 )

Oddelek: Omrežja in internet
5011217 (9544) Yacked2
»

Anketa: Uporaba brezžičnih omrežij

Oddelek: Loža
385580 (4845) Yacked2
»

Varnost brezžičnega omrežja?

Oddelek: Omrežja in internet
272631 (2143) blackbfm

Več podobnih tem