Ktos sie wlamal do mojego komputera - prosba o pomoc

[dzynio]

Witam,
Mam oto następujący problem, który przerasta moją wiedzę.
Kilka dni temu nastąpiło (najprawdopodobniej) włamanie (zdalne) do mojego komputera . Ktoś wykasował wszystkie pliki z jednego,
ważnego katalogu (Moje dokumenty).

Czy ktoś z forumowiczow potrafi mi odpowiedzieć na dwa pytania:
1. Jak do tego mogło dojść i czy mogę sie dowiedzieć kto to zrobił.
2. Jak takiej sytuacji zapobiec na przyszłość.

Z "góry" zaznaczam, dostęp musiał być zdalny.
W chwili gdy pliki byly kasowane, otwartych bylo kilka okien przegladarki IE9 (m.in allegro, friv.com, moze jeszcze jakis polski portal
- nic ze stron, ktore by chcialy instalowac jakies dodatki).
W pewnej chwili dysk zaczal intensywnie pracowac. Myslalem, ze te otwarte okna sa tego powodem (2GB ramu to nie jest duzo) i podpialem
pendrive w trybie readyboost (dyskusyjna sprawa pozostaje czy podpiecie pendriva moglo przyspieszyc prace systemu,
ale to teraz nie jest najwazniejsze). W kazdym razie zwrocilem uwage, ze dysk bardzo intensywnie pracuje. W tym czasie najprawdopodobniej
gralem na stronie friv.com.
Potem dysk sie uspokoil a ja zapomnialem o tym zdarzeniu, az do chwili kiedy potrzebowalem jednego pliku z folderu Moje dokumenty
(lokalizacja folderu niebyla domyslna). Wtedy sie okazalo, ze folder jest pusty, a dokladniej zostalo w nim kilka pustych katalogow -
jak pozniej sprawdzilem, byly one w trybie read only.

Komputer łączy się z netem przewodowo przez ruter WIFI. Dostawcą netu jest TPSA. Oprócz mojego komputera (podłączonego przez
LAN) z routera korzystają dwa inne urządzenia - w momencie ataku byly wylaczone. Router ma włączoną weryfikację MAC oraz
szyfrowanie WPA a ponadto slaby zasięg :-) - dlatego atak przez podpięcie się do routera wykluczam.
Na komputerze jest zainstalowany system Windows 7 z aktualnymi poprawkami.
W chwili ataku używałem programu antywirusowego MS Security Essensial.
Główną przeglądarką jest IE9. Sporadycznie Opera 9.64.
Żadne craki nie były pobierane. Nie ma też na nim zaistalowanego żadnego programu P2P. NIe klikałem w żadne odnośniki do nieznanych
stron. Odwiedzane strony to w większości standardowe (tzn. bezpieczne) polskie portale.
Po stwierdzeniu braku plikow i folderow przeszukalem inne lokalizacje gdzie Windows tez przetrzymuje Moje dokumenty. Nigdzie ich nie
bylo. Dopiero program do odzyskiwania plikow znalazl je jako skasowane.
Po uruchomieniu programu antywirusowego Bit Defender z botowalnej plyty zadne wirusy nie zostaly znalezione.
F-secure (zainstalowany juz po wlamaniu) tez nic nie znalazl.
Obeecnie system jest skanowany przez Kaspersky Rescue Disk z maksymalnymi ustawieniami heurystyki oraz skanowaniem wszystkich
plikow - przy 86% wykazuje, ze komputer jest czysty.

Na komuterze oprocz wspomnianego MS Security byl wlaczony wbudowany w Win7 firewall. Nigdy nie ingerowalem w jego ustawienia.
Znajdowalo sie tez na nim jedno konto, na ktorym pracowalem, niezabezpieczone haslem. W ogole nie zmienialem
zadnych ustawien domyslnych dot. zabezpieczen czy sieci. Po prostu nie chcialo tego robic. Uznalem, ze skoro kupuje
orginalny Windows to jest on juz domyslnie wystarczajaco zabezpieczony.
Router to ZTE.

Jestem długoletnim użytkownikiem komputera (zaczynałem na DOSie) i bezmyślnie nie instalowałem żadnych programów lub dodatków
do przeglądarek. IE9 posiada zainstalowaną wtyczkę do strony Iplex, słownik polski (speckie), flasha i kilka dodatków instalowanych
przez MS w tym Office czy HP.
Nie uzywam GG, ale alternatywna Mirande.

Czy ktos jest w stanie wyjasnic mi jak moglo dojsc do opisanego wlamania?

Pozdrawiam
dzynio

P.S. 1. Mam nadzieje ze ewentyalny haker, ktory wlamal sie do mojego komputera nie czerpal wiedzy z tego forum ;-)
2. Dzis bylem na policji (rozwazam napisanie zawiadomienia do prokuratury) - za takie wlamanie groza 2 lata wiezienia.
3. Przepraszam za ewentualne literowki i brak polskich znakow.

[TQM]

Ok... zacznijmy od poczatku - dobry opis tego co sie dzieje w Twoim systemie bardzo sie przydaje.

Tak wiec:
1. To ze placisz za windowsa absolutnie nie znaczy ze bedzie bezpieczny - logika moglaby tak wskazywac ale zycie prostuje natychmiast
2. niedawno byla dziura w IE9 (kwestia chyba max 2 tygodni... a z reszta kiedy nie ma czegos na IE lol) - jeden wektor juz jest
3. Miranda - zaleznie ktorej wersji uzywasz, bywaly bardzo dziurawe i takie lepsze wiec potencjalnie drugi wektor
4. Flash - no... Adobe zawsze jest na szczycie... listy firm z dziurawymi produktami. Kolejny potencjalny wektor ataku.
5. MS Security Essentials jest nawet ok - sam uzywam
6. Pen-drive - marne szanse aby cos tam bylo, jesli instalowales latki do windows'a tak jak wychodzily to autorun masz wylaczony
7. Po zajsciu zaczales instalowac antywirusy (i to nie jeden), zaczlales skanowac system itp itd. W ten sposob zniszczyles bezpowrotnie slady ktore moglyby pomoc w odkryciu tego co tam sie tak na prawde stalo.

windows zapisuje mase logow i mozliwe ze udaloby sie cos wyciagnac metodami stosowanymi w kryminalistyce (mowie tutaj w ogolnym znaczeniu), NTFS tez zapisuje sporo informacji, mozna zbudowac timeline albo i super timeline i bysmy sie dowiedzieli jaka aplikacja skasowala pliki, ale teraz to juz nie ma czego szukac raczej - za duzo zmian wprowadziles do systemu plikow.

Windows 7 tworzy domyslnie obrazy dysku co pewien czas - np przy instalowaniu nowych sterownikow, aktualizacji itp. Jesli uzywasz kompa (np laptop) podpietego do pradu caly czas to takie kopie beda sie robic co 5-8 dni zazwyczaj w Twoim przypadku. Mozna system przywrocic do stanu z ostantniej kopii i 'cofnac' wszelkie zmiany, wlacznie z zainstalowanym softem itd... a wiec byc moze i odzyskac utracone pliki - zakadajac ze usluga dzialala (domyslnie dziala) i jej nie wylaczyles.

Odpal w wierszu polecen i przyslij co Ci zwrocily polecenia

Kod:

vssadmin list volumes
vssadmin list shadow
vssadmin list shadows

Do tego mozesz prawym przyciskiem na moje dokumenty, ostatnia zakladka po prawej 'poprzednie wersje' (lub podobna jesli bedzie) - powinna byc opcja przywrocenia plikow

Dane pewnie da sie jeszcze odzyskac, ale nie sadze abys teraz doszedl co sie stalo i dlaczego.

[Mad_Dud]

1. Jak do tego mogło dojść i czy mogę sie dowiedzieć kto to zrobił.

Wirus, 0day, backdoor, makro, fingerfehler
Bez specjalistycznego oprogramowania nie uzyskasz informacji na temat ataku. Specjalistyczne oprogramowanie to: IDS, IPS, firewall z prawidłowo skonfigurowanymi regułami logowania zdarzeń.

2. Jak takiej sytuacji zapobiec na przyszłość.

Wszystkie poniższe zasady muszą być spełnione, aby zabezpieczyć dane przed utratą i naruszeniem uwierzytelnienia:

• regularne kopie zapasowe,
• tylko i wyłącznie oryginalne oprogramowanie i system operacyjny,
• markowy (legalny) firewall i antywirus (norton, esset, mcaffe, kaspersky),
• regularne uaktualnienia (parę razy w tygodniu),
• niezwykła ostrożność w otwieraniu załączników i wpinanie pendrive do komputera,
• silne hasła (warunki)
• zawsze blokować komputer, gdy się od niego odchodzi,
• fizyczna i logiczna izolacja środowisk prywatnych i zawodowych od siebie,
• niełączenie się do Internetu za pomocą publicznych, lub słabo szyfrowanych (wep, wpa1) sieci WiFi,
• szyfrowanie wrażliwych danych

Lista dotyczy systemów operacyjnych z rodziny Winows i MacOS X.

Zadanie dla ciebie:

1. Sformatuj wszystkie partycje,
2. Zainstaluj legalny system operacyjny,
3. Zainstaluj legalny, płatny firewall i antywirus,
4. Zainstaluj niezbędne oprogramowanie (uaktualnij oprogramowanie zaraz po instalacji),
5. Przywróć kopię zapasową. Nie umieszczaj dokumentów i wrażliwych danych w domyślnych folderach. Trzymaj je na oddzielnych, szyfrowanych partycjach,
6. Przeprowadzaj regularne (tygodniowe) aktualizacje i wykonuj kopie zapasowe dokumentów. Regularnie (miesięcznie) testuj, czy kopie zapasowe działają.

Dodatkowe info
Przewodnik po systemie Windows*7 - Większe bezpieczeństwo
Microsoft Security: Bezpieczeństwo i ochrona prywatności

[TQM]

Stare powiedzenie mowi, ze ludzie generalnie dziela sie na dwie grupy - tych co robia kopie zapasowe i tych co beda robic kopie zapasowe.

Warto o tym pamietac.

[dzynio]

Dziękuję za odpowiedź.
Precyzując: Miranda nie była uruchomiona w chwili ataku natomiast Strona z flashem była. Mam także stale uruchomionego klienta BOINC. A co do programów antywirusowych to po zauważaniu utraty plików zainstalowałem jedynie F-Secure (na innej partycji). Pozostałe dwa (BitDefender i Kaspersky) uruchamiałem z płyt botowalnych. Kaspersky na maksymalnej heurystyce i opcji sprawdzania wszystkich plików nic nie wykrył, natomiast BitDefender jedynie kilka śledzących ciasteczek, których nie pozwoliłem mu usunąć.
Partycja z której usunięto pliki jest "prawie nietknięta"

Niestety kopia zapasowa jest praktycznie bezużyteczna. Zapełniła mi się partycja która była przeznaczona tylko na kopię, a robić kopii na tym samym dysku na którym się znajdowały pliki system nie chciał - wyskakiwał błąd.

Dodam jeszcze, że większość skasowanych plików udało się odzyskać (na inną partycję) ponieważ nie były jeszcze fizycznie nadpisane - przydało się, że dysk był podzielony na kilka partycji!

Zainteresowały mnie polecenia timeline i super timeline. Nadal ok 80% plików jest jeszcze nienadpisanych. Czy można ustalić (jaki proces, program, użytkownik wydał polecenie ich skasowania?

A jak z punktu widzenia zabezpieczeń wygląda fakt, że nie interesowałem się wbudowanym kontem administratora (może trzeba było założyć hasło?) oraz, że na swoje konto (z uprawnieniami administratora) nie założyłem hasła. Czy takowe hasła utrudniają nieauatoryzowany (ładnie to ujmując)dostęp do komputera, czyli czy mogły by mnie uchronić przed włamaniem z zewnątrz?

W załączniku są wyniki wykonania podanych poleceń (jedno jest z błędem).

Pozdrawiam i dziękuję za wszelką pomoc.

dzynio

[Mad_Dud]

Miranda nie była uruchomiona w chwili ataku

Nie ma to znaczenia. Dostęp do komputera mógł być uzyskany znacznie wcześniej. Jedyne przydatne informacje na temat bieżącego stanu komputera to zainstalowane wersje oprogramowania i lista poprawek systemu operacyjnego, data i hash ostatnio pobranych sygnatur programu antywirusowego i konfiguracja z logami firewalla.

Niestety kopia zapasowa jest praktycznie bezużyteczna.

Jesteś sam sobie winien i żadne tłumaczenia w tej kwestii nie usprawiedliwiają tego zaniedbania.

A jak z punktu widzenia zabezpieczeń wygląda fakt, że nie interesowałem się wbudowanym kontem administratora

Podaliśmy wystarczająco dużo osi ataku, które uwzględniają to i wiele innych jeszcze nie wspomnianych przez ciebie elementów.

Jeśli chcesz dowiedzieć się więcej na temat ataku, przestań marnować czas, zacierać ślady i zanieś komputer do specjalistów, którzy to zrobią za ciebie i napiszą ci raport, z którym możesz iść na policję.

Wcześniej napisałem, abyś przeinstalował system. Zdajesz sobie sprawę, że jeśli tego nie zrobiłeś i nadal korzystasz z tego komputera, to oznacza to, że w każdej chwili sytuacja może się powtórzyć niezależnie od zainstalowanego antywirusa?

[TQM]

Partycja z której usunięto pliki jest "prawie nietknięta"

Absolutnie NIE PRAWDA - skanowales pliki antyvirami, te programy mialy dostep do partycji w trybie read-write (bo inaczej nie usuna wirusa jak cos znajda) co spowodowalo zmiane ostatnich czasow dostepu do pliku (na poziomie systemu plikow przechowywane sa informacje o czasie utworzenia, modyfikacji i ostatniego uzycia pliku oraz czasie ostatniej zmiany wpisu w NTFS opisujacego plik) na czas skanowania. Zniszczyles w ten sposob wszelkie slady pozwalajace stworzyc linie czasu ktora moznaby analizowac.
Gdyby te czasy byly nietkniete to moznaby okreslic przynajmniej ktore pliki/programy mogly brac jakikolwiek udzial w tym co sie stalo (wiadomo ze pliki nie uzywane przez ostatnie tygodne nie braly udzialu) a teraz kazdy bedzie mial mniej wiecej ten sam czas ostatniego dostepu wiec stracilismy bardzo wiele informacji.
Dlatego wlasnie gdy jestem wzywany do wlamania pierwsze co robie (jeszcze przez telefon) to kaze administratorom odejsc od klawiatur aby nic nie ruszali, bo pierwsze co lubia robic to szukac po dysku plikow ktore atakujacy mogl zobaczyc. Linuxowe polecenie find bardo dokladnie zaciera daty i jest to ulubione polecenie wiekszosci adminow...

1. Admin z dala od kompa i trzymac pod straza...
2. Zrobic bitowy obraz dysku maszyny - albo off-line albo on-line (lepiej off-line ale nie zawsze sie daje) - to bedzie potrzebne do analizy 'kryminalistycznej' (jesli mozna to tak okreslic, po angielsku prosto - forensics)
3. Admini wracaja do kompa i pracuja razem z czlowiekiem prowadzacym obsluge incydentu aby zlokalizowac dziure, zalatac i przywrocic system do stanu operacyjnego - cokolwiek to oznacza... i w koncu oddac system do uzytku prawowitemu uzytkownikowi.


BTW. Twoj system robil kopie w tle i na dysku C: masz kopie dla nastepujacych dat:
- 2011-07-01 02:00:08
- 2011-07-02 03:10:42
- 2011-07-03 11:11:08
- 2011-07-04 08:03:25
- 2011-07-06 01:59:46
- 2011-07-07 01:50:41
- 2011-07-07 19:09:37
- 2011-07-09 01:24:26
- 2011-07-09 06:41:37
- 2011-07-10 02:00:14
- 2011-07-11 06:47:58
- 2011-07-12 22:19:19

Teraz mozesz prawym przyciskiem na moje dokumenty, ostatnia zakladka po prawej tak jak mowilem i przywrocic stara zawartosc - z jednej z tych dat powyzej. Ja bym sie pospieszyl z tym, bo stare kopie sa kasowane automatycznie :-)

Ten sam proces zadziala na Twoim dysku J:

[dzynio]

Mad_Dud: Jeśli chcesz dowiedzieć się więcej na temat ataku, przestań marnować czas, zacierać ślady i zanieś komputer do specjalistów, którzy to zrobią za ciebie i napiszą ci raport, z którym możesz iść na policję.

A kto może profesjonalnie sprawdzić komputer i napisać raport? Czy możesz podać nazwy przykładowych firm?

Dodam jeszcze jeden szczegół. Tego wieczora kiedy miało miejsce włamanie miałem dziwny telefon. Połączenie było z n-ru zastrzeżonego. Jak je odebrałem to tylko usłyszałem głos mówiący "jest". Odniosłem wrażenie, że ta osoba nie mówiła tego do słuchawki ale "obok niej" - do kogoś innego.

[TQM]

Nie przesadzajmy, nie sadze abys mial tam cos tak super secret aby na Ciebie ktos sie nastawial az tak bardzo aby dzwonil, sprawdzal czy jestes pod telefonem czy przy komputerze... Dlaczego tak sadze? Gdybys mial cos tak cholernie waznego to nie szukalbys pomocy na forum a Twoj system bylby natychmiast zabezpieczony i przetrzepany przez panow w mundurach (takich czy innych nie ma znaczenia).

Sprawa prosta - po co zadawac sobie tyle trudu skoro do danych mozna dostac sie na wiele roznych sposobow... Wiesz ze cos sie stalo bo cos/ktos te pliki skasowal. Czy zauwazylbys cokolwiek gdyby pliki nie zniknely?

[Mad_Dud]

A kto może profesjonalnie sprawdzić komputer i napisać raport? Czy możesz podać nazwy przykładowych firm?

Jeśli komputer i/lub dane są powiązane z twoją pracą, musisz niezwłocznie skontaktować się działem IT i oni już potoczą sprawę dalej. Jeśli twoja firma nie ma takiego działu - Google:

• IT security audit analysis
• it security consulting

Nie podam żadnych firm aby nie być posądzonym o kryptoreklamę.


dodatkowa lektura:

• nist SP800-30
• nist SP800-84