Добрый день-вечер или что сейчас у вас там Вопрос простой и очень интересный для меня, и может для кого то ещё: Имеем несколько дедиков(брученных или сделанных из компьютеров простых пользователей), на некоторых установили VPN серверы, на некоторых ssh, на некоторых socks'ы; Решили что-то сделать, все соединения шифрованные конечно + отключены все возможные логи на этой цепочки Допустим сделали VPN соединение с дедиком, с него сделали соединение к нашему сокс серверу, оттуда к sshф Понятно что весь трафик этой цепочки шифрованный И тут вопрос: Что мешает найти того, кто использует такую цепочку, через провайдеров? Можно же просто к ним обратиться- они предоставят ip, дальше обратиться к следующему провайдеру- опять предоставят ip и тем самым найти нужного им человека Или я что-то не понимаю? Возможно ли что просто напросто какой-либо провайдер не ответит на обращение?(Что-то вроде разных стран и т.п.) Возможно будете писать что якобы есть абузоустойчивые сервисы без логов- но проверить ведут логи или нет нельзя, так что этот вариант не рассматриваем Надеюсь вопрос понятен P.S. Маленький дополнительный вопрос- как узнать управляемые свичи стоят у провайдера или нет?
У всех провов есть управляемые свитчи, как вы без них предпологаете работу прова..Ту же стату собирать.. А про остальное - много раз обсуждалось..
С какого\каких IP проходила проверка сбрученных дедиков на валидность, а также установка VPN, SSH и SOCKS5? VPN какого типа был установлен на дедиках (PPTP\L2TP\SSTP\OpenVPN)? Мешает бюрократия, юридические проволочки и политические отношения между странами. Как пример, США арестовывает русского кардера в Швейцарии, т.к. не может добиться его выдачи из России. Зато румынские хакеры, подозреваемые во взломе, арестованы по запросу США. Вы в принципе все правильно понимаете, грубо говоря, провайдер пошлет на хрен обращающегося со словами "мы сотрудничаем только по линии Интерпола", а Интерпол занимается серьезными делами, в число которых, как я думаю, ваши не входят. Абузоустойчивые сервисы с русскими владельцами? Прикольно, я думал такого вообще не бывает.
С русских IP, к примеру из открытых wi-fi точек- брут и проверку на валидность; С домашнего IP-адреса своего провайдера(РФ)- при подключении к дедикам на дедиках или openvpn или pptp, остальные редко + Маленький вопрос: на самом деле при выходе в сеть на сайтах или как-то через оборудование провайдера можно узнать номер процессора и другую подобную информацию, и использовать её в доказательствах против пользователя сети?
Теоретически через срипты конфиг можно узнать..Ну как доказательства..сомневаюсь,но... пользуйтесь двумя плагинами noscript и user agent switcher .. Информация о вас будет снять затруднительно..
Все ваши IP записываются в логах провайдера, где дедик висит. Я всегда захожу на дедики либо под OpenVPN + SSH, либо в крайнем случае, 2SSH. Лучше всего поднимайте OpenVPN на портах 443 и 80 TCP. Сомневаюсь, что кроме легко подделываемого MAC-адреса можно еще что-то выцепить при подключении. Формально все это отображается в статистике подключений вашего провайдера, т.е. ваш адрес, ФИО, дата, время, внутренний локальный IP, внешний IP и MAC-адрес устройства. Возможно, ваша статистика что-то не отображает специально, чтобы вы не знали как можете это использовать, скажем может не быть информации по MAC-у. Если что-то выцепят другими способами (закидыванием троянов, например), то в суде как доказательство не прокатит. В остальном - как сказал s62, подделка идентификатора браузера, блокировка скриптов и правильно настроенный файрволл.
То, что IP записываются это понятно- так же не забываем про СОРМ и подобные системы; Просто получается что даже чтобы воспользоваться своими самодельными-брученными проксями, vpn, дедиками надо иметь покупной VPN или SSH канал? То есть сразу, к примеру, сделать socks или VPN-соединение с своим дедиком, а с него уже зайти на другой дедик это слишком палевно выходит? Может вопросы и глупые, просто сейчас в голове странная каша от множества различной прочитанных статей, к примеру как эта: http://9e-maya.ru/forum/index.php/topic,2229.0.html не реклама, но ваши мнения о ней интересно было бы почитать
При посещении сайта можно намного больше оставить о себе инфы..Прмер обсуждения то же скрипта ,который собирает данные о конфигурации компьютера http://javascript.ru/forum/jquery/13328-java-script-i-konfiguraciya-kompyutera.html
Верно подмечено. Человек понимает, что пишет , что не понимает, признает. Уважаю. Сегодня не льзя быть во всем богом Вот тебе идеальная схема, правда медленная работающая - 1) Прячем ДНС 2) Виртуальная машина. 3) Шифрованный туннель , через TOR сеть. (У себя тоже поднимаем "проходящий" ТОR сервер.) Значительно ускоряет работу и путает в количестве запросов. Тут еще можно выбрать место от куда вылетишь, своим туннелем. Учитываем политическую дислокацию и делаем верный выбор. 4) Сетевой мост от данного тоннеля (В Основной ОСи) к виртуальной сетевой карте твоей виртуалки. P.S. Все - это бесполезно, если работа имеет концы в реале.
На форуме одного провайдера нашел интересный пост от одного из администратора, цитирую: ...Вы ещё забыли обратиться в Госдеп США и в ООН... Жаловаться в правоохранительные органы и при этом самому нарушать действующее законодательство РФ (в плане неправомерного доступа на форум через взломанные (затрояненные) компьютеры) -- это сверхнаглость. Лично я не возражаю, чтобы Прокуратура РФ дала надлежащую оценку этим Вашим действиям... Подскажите, как он смог определить что пользователь именно таким способом зашел на форум?
Конечно, иначе как ты скроешь факт соединения с SOCKS'ом от провайдера, если не закрыть его предварительно OpenVPN? Не зря ведь советуют все VPN-компании - пользуйтесь SOCKS'ами. Провайдер видит что ты подключился к OpenVPN, а что за ним, сколько цепочек или туннелей ты пробил после OpenVPN провайдеру уже не видно. По конкретно твоему вопросу - вот смотри, поставил ты себе OpenVPN допустим на сбрученном сервере, поставил SOCKS, а ты это по какому каналу сделал? Открытому? Вот и все выводы. Такие вещи надо делать по закрытому каналу, следовательно полюбому покупное что-то должно быть, чтоб этим заниматься относительно беспалевно. У меня всегда NoScript включен. Для тех у кого зашифрован системный раздел эта инфа толку особо не принесет, если раздел не вскроют. Только по аппаратке можно попытаться идентифицировать, да и то далеко не факт что это за доказательство примут. Киньте адрес форума пожалуйста, всю ветку интересно почитать.
Спасибо, интересно, если не трудно ещё пару маленьких вопросов: Если брут, создание учетки и пр. делалось через какой либо не свой канал, к примеру свободный wi-fi, а после им пользоваться только для интернет серфинга- насколько палевно будет и какая это статья по административному или УК РФ? Про статью не смеюсь, спрашиваю серьезно Следующий вопрос уже был, но все таки задам чтобы на душе не висел: Если использовать схему: покупкой openvpn-брученные дедики в различных количествах и разные страны + чистка логов - насколько безопасный вариант? + вопрос по схеме: Как такую схему использовать: удаленный компьютер(экран) в другом экране или же через настройки подключений? Если через настройки подключений, то как чистить логи? И ещё вопросик: Если постоянно использовать один(одни) и тот же дедик(и) под одними и теме же учетками: насколько палевно?(интересует только ваше мнение, ибо понятно что зависит от админов) Насчет ссылки, сейчас оправлю в ПМ
Есть системы, позволяющие определить местоположение каждого подключенного к сети Wi-Fi устройства, тот же ЗОДИАК. Ты серфил по своим личным аккаунтам в соц. сетях, личной почте и пр. или просто по сайтам ходил и новости читал? Покупной OpenVPN+SOCKS/OpenVPN+SSH + брученные дедики, тогда относительно надежно. Для увеличения звеньев можно к OpenVPN через SOCKS подключаться. Не понял вопроса, сформулируй более ясно. Палевно, но не лично для тебя, а для конечного IP твоей цепочки. Админ который позволил сбрутить свой дедик на простой пароль явно не отличается интеллектом, так что можешь забыть что он внезапно что-то начнет предпринимать. В лучшем случае пароли везде сменит и все. Если к админу придут, он скажет что его взломали (да и по логам прова это видно будет), потом выйдут на конечный IP твоей цепочки, а это может быть США или Прибалтика, которые с РФ не сотрудничают в области поимки хакеров. Спасибо за ссылку, почитаю.
Прочитал ветку. Какие все "правильные" в NetByNet, охренеть просто. Как я понял, доступ к форуму NetByNet разрешен только для абонентов компании из их диапазона адресов. Тот, кто оставил эти сообщения, вероятнее всего сделал это от лица какого-то абонента (либо SSH-туннель пробил до NetByNet'овского адреса, либо прокси нашел из их диапазона) и получил доступ на форум. Неудивительно, что в топике был вопрос - кому понадобилось в 8 часов утра 24 февраля регистрироваться и начинать такие дискуссии. Админ посмотрел логи, увидел подключение "извне" к тому IP-адресу, сообщения из под которого были на форуме, затем посмотрел в какое время, к какому сервису и порту было подключение "извне", после чего сделал свой вывод, что компьютер клиента взломали и от его лица отсылали сообщения. Т.е. грубо говоря админ "за уши" притянул информацию о том, что абонента хакнули, это его личные умозаключения и скорее всего ему хотелось просто заткнуть пользователя. То, что доступ к NetByNet'овскому адресу не предоставлялся абонентом добровольно или из-за намеренно кривой сборки Windows, где по умолчанию 3389 открыт, еще доказать надо.
Это только предположение, через free wi-fi онли брут с виртуальной машины и смененного мак-адреса; На дедике настраивать open-vpn сервер и подключаемся через Мои подключения(если винда), или через создание VPN соединения в линуксе- как тогда чистить логи на дедике? Или же надо зайти на дедик через удаленный рабочий стол и со следующим сервером соединяться через vpn-соединение или опять удаленный рабочий стол?(экран в экран как я до этого выразился) Спасибо, стало более понятно Не за что
Не совсем, на форум доступ открыт всем, кроме забаненных подсетей, иначе я не зашел бы) Они на форуме находили и французкие адреса, но пользователь сказал что это админ на работе сделал такую проксю, так что хз
Не веришь - вбей по Google сочетание "определение местоположения Wi-Fi ЗОДИАК". На каком-то участке у тебя должен быть включен RDP, чтобы скрыть следы твоей атаки постоянным траффиком на низкой скорости, так провайдер не поймет по промежуткам активности\неактивности соединения делаешь ты что-то или нет. Даже если сравнит время активности соединения с тем, когда была атака, у тебя активность будет идти постоянно и доказать ниче не получится. Можно так попробовать: 1) на дедике настроил OpenVPN 2) купил или нашел SOCKS, настроил доступ к 1) OpenVPN через SOCKS 3) поверх OpenVPN второй SOCKS или SSH-туннель 4) MSTSC.EXE соксифицирован на туннель или SOCKS, заходим на дед по этой схеме, дальше траффик идет постоянно 5) теперь вся работа идет на втором деде, к которому ты через RDP подрубился, на втором деде (не участвующим в этой схеме) поднимаешь WinSSHD, теперь его можно использовать как SSH-сервер, на нем же поднимаешь SSH-туннель и вписываешь в настройки WinSSHD адрес SOCKS5 этого SSH-туннеля 6) на первом деде поднимаешь SSH-туннель до второго деда, на выходе получаешь IP SSH-туннеля, поднятого на втором деде, а не IP второго деда При такой конфигурации логи ты чистить задолбаешься, да это и не нужно будет - достаточно в WinSSHD убрать все логирование. И скорость эта схема замедлит сильно.
black_berry, если я правильно тебя понимаю, схема такая: localhost soks - openvpn - soks - rdp (на дедике) ssh - rdp(ssh через socks5) Т.е. выходит нужно 3 сокса и 3 дедика? Далее: "на первом деде поднимаешь SSH-туннель до второго деда, на выходе получаешь IP SSH-туннеля, поднятого на втором деде, а не IP второго деда" Т.е. будет ip сокс сервера который вбит в ssh на дедике? И ещё вопрос- даже если дедики будут брученные-фришные, то соксы так же придется ставить самому? Просто если даже по минимуму посчитать что нужно 3 сокса в день(дедики не считаем)- 90 соксов в месяц, а это кругленькая сумма P.S. Словами конечно не передать, но спасибо тебе, black_berry. Как у тебя ещё терпения хватает на новичков)
Не знаю кому они продают эту хрень, за такие деньги, только если директору с учредителем очень крупной фирмы или того более, которые не доверяют своей тех. группе ИТишников и нанимают негласную третью сторону. (На практике такое не встречается.) Максимум , что они смогу отследить против серьезной ИТ группы - это время обращения, по МАС адресам, но кто сказал , что взлом пойдет именно через Вафлю ? ))) Если просто защитить Wi-Fi зону , то значительно дешевле и серьезнее будет топология построенная на точках доступа WPA2-Enterprise с шифрованием AES, где включена авторизация в домене и + еще по двум сертификатам (Сертификат пользователя и сертификат машины). Ну возможность включения нескольких Вай-фай зон на таком предприятии совершенно логична , которые еще можно дополнить VLANами, чтобы слишком не нагружать сеть и защититься от любопытных обезьян этого же предприятия. P.S. Я к тому , что с этими побрякушками гонять по городу возле всяких кафешек , где сейчас практически в каждой первой есть вай-фай зона полный маразм ... Неоправданно дорогая техника . Можно про нее забыть. P.S.S. Слишком муторные схемы , выше написаны , гораздо проще и намного быстрее шифрованный канал сквозь ТОР сеть . В ТОР сети можно вылетать с любой выходящей ноды спланировано ! Медленно конечно , но чтобы выполнить пару действий вполне оправдано, даже серфить можно без проблем. Это намного надежнее всяких ДЖЕСМов, Йот , Вафель+ сидеть можно , где хочешь. Ну да и никто не запрещает объединить данные схемы. P.S.S. Очень хорошо себя видут через тор сеть шифрованные каналы: SSH, OpenVPN(на tcp), IKEv2, SSTP.
