on 3.9.02 4:25 PM, Сергей Шипилов at cgpro@forest.tambov.su wrote:
> Вот такая штуковина из логов:
>
> WEB-00556(ola029@mail.tambov.ru) logged in from
> [195.19.104.7]
> WEB-00556(ola029@mail.tambov.ru) session with
> [195.19.104.7] closed
> WEB-00583(ola029@mail.tambov.ru) logged in from
> [212.138.47.17]
> WEB-00583(ola029@mail.tambov.ru) has been opened from
> [212.138.47.17], got connection from [212.138.47.15]
> WEB-00586(ola029@mail.tambov.ru) logged in from
> [212.138.47.27]
> WEB-00586(ola029@mail.tambov.ru) has been opened from
> [212.138.47.27], got connection from [212.138.47.17]
> WEB-00587(ola029@mail.tambov.ru) logged in from
> [195.19.104.4]
> WEB-00587(ola029@mail.tambov.ru) session with
> [195.19.104.4] closed
> WEB-00583(ola029@mail.tambov.ru) session with
> [212.138.47.17] closed
> WEB-00586(ola029@mail.tambov.ru) session with
> [212.138.47.27] closed
>
> Наша сеть 195.19.104, остальные из Саудовской Аравии.
> Пароль у пользователя
> менял лично на прошлой неделе, из под виндов он не
> заходил. Как можно
> такое сотворить уже башку сломал. При внимательном
> просмотре логов оказалось,
> что этот пользователь не одинок, но остальных я проверить
> не могу - может
> они и правда заходят из тех же штатов. Отцы создатели,
> подскажите как
> избавиться от этой напасти. Как перехватить сессию я уж не
> спрашиваю. Да,
> fixed ip стоит.
Fixed IP должно спасать от перехватывания session ID. Но в данном случае в логе сказано "logged in from [212.138.47.17]", т.е. хакеры знают пароль и залогинились нормальным образом.
Сотворить такое можно например так: захачить DNS, чтобы mail.tambov.ru указывал на [212.138.47.17], а с [212.138.47.17] проксировать на настоящий mail.tambv.ru. Чтобы этого избежать - используйте SSL с сертификатом, подписанным Verisign-ом или ещё кем.
-- RomanПолучено Tue Sep 03 15:12:03 2002
Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:13:59 MSK