Какие еще дыры можно закрыть в семерке?

Подскажите пожалуйста, что можно сделать если на свежеустановленной системе отключены удаленный доступ, служба удаленного реестра, закрыты шары, стоит антивирь и контролирует все порты, но с компа все равно пропадают новые файлы, а сайты вдруг начинают жаловаться на подозрительный трафик? Еще время от времени сам отключается и включается инет.

До этого недоброжелатели через фишинг заразили вирусом, увели пароли и спалили всю инфу о системе (включая MAC-адрес и внутренний айпишник). Я переустановил и первым делом отключил все вышеперечисленное, поставил антивирь и только самый необходимый софт вроде кодеков, архиватора и торрент-клиента. На стремные сайты не захожу, в игры не играю.

Когда сижу с винта на котором Линукс все нормально, но там фаервол все входящие блочит. Может надо определенные порты в Винде закрыть? Еще склоняюсь к тому, что в момент установки и обновления ОС могли залезть и что-нибудь в реестре сделать, пока не успел все отключить и поставить антивирус. У меня подключение напрямую через кабель и статический айпишник. Такое возможно, если у меня и хакера один и тот же провайдер? Через SMBv1 к примеру? И влияет ли имя компьютера на что-то?

0

Сообщение от Silensio Мне нужно решить, закручивать виндосовский брандмауэр только на время обновлений, а потом ставить Каспера, который помимо защиты от вирусов возьмет на себя функции брандмауэра или не ставить его.

Брандмауэр закручивайте в любом случае, даже если будете ставить каспера.

Сообщение от Silensio а просто поменяет MAC на мой и сделает как написано в Википедии

А Вы в википедии до третьего пункта дочитать не пробовали?
Это уже давно практикуется провайдерами, так что можете не переживать, к тому же, IP-спуфинг достаточно трудоемкая процедура и вряд ли ее кто-то будет практиковать только ради того, чтобы Вам насолить.

Сообщение от Silensio Совершенно точно я знаю, что у меня увели пароли от сайтов

И что, их невозможно восстановить.поменять?

Сообщение от Silensio узнали названия файлов, текстовые фрагменты (с чем я чаще всего работал) и нарочно упоминали их в переписке

В какой такой переписке? Заголовки файлов можно узнать при помощи Wireshark, когда данные передаются по незашифрованному каналу связи.

1

Сообщение от Maks А Вы в википедии до третьего пункта дочитать не пробовали?

Пробовал. Там описываются способы проверки, но кем, в каких случаях и на каком этапе они проводятся я не понял.

Вы говорите про провайдера, что хакер не сможет получить мой IP и выйти с него в инет, но раньше ведь в локалках практиковалась подмена MAC-адреса, чтобы сидеть под чужим инетом. В ответах на Хабре тоже пишут, что подменив МАС можно подставить кого-то.

И что если не через провайдера, а просто с 4G модема и мобильного инета так сделать? У модема поменять MAC на мой, поставить в заголовке пакетов мой IP и как-то атаковать, либо просто зайти на сайт и под моим видом что-то сделать. Не получится так?

Сообщение от Maks IP-спуфинг достаточно трудоемкая процедура и вряд ли ее кто-то будет практиковать только ради того, чтобы Вам насолить.

Я не уверен только насчет количества украденной инфы и примененного способа, а то что он умеет спуфить IP точно знаю.

Сообщение от Maks И что, их невозможно восстановить.поменять?

Поменял, но к украденному с компа прибавилась еще разная инфа из моих аккаунтов.

Сообщение от Maks В какой такой переписке? Заголовки файлов можно узнать при помощи Wireshark, когда данные передаются по незашифрованному каналу связи.

Под фейками писал мне и упоминал как бы невзначай. Не только заголовки, но и фрагменты текстовых документов, или что-нибудь на тему последних сохраненных картинок.

Скажите, у Вас эти службы все до единой отключены?

0

Сообщение от Silensio Вы говорите про провайдера, что хакер не сможет получить мой IP и выйти с него в инет, но раньше ведь в локалках практиковалась подмена MAC-адреса, чтобы сидеть под чужим инетом. В ответах на Хабре тоже пишут, что подменив МАС можно подставить кого-то. И что если не через провайдера, а просто с 4G модема и мобильного инета так сделать?

Устал повторять Вам: настройте бранмауэр описанным мною способом и тогда узнать Ваш мак хакер вряд ли сможет.

Сообщение от Silensio Под фейками писал мне и упоминал как бы невзначай. Не только заголовки, но и фрагменты текстовых документов, или что-нибудь на тему последних сохраненных картинок.

И каковы его требования?

Сообщение от Silensio Скажите, у Вас эти службы все до единой отключены?

Я воздержусь от ответа на данный вопрос.
Для своих "развлечений" в сети, я использую линукс.

0

Сообщение от Maks Устал повторять Вам: настройте бранмауэр описанным мною способом и тогда узнать Ваш мак хакер вряд ли сможет.

Если верить гуглу, MAC можно узнать по IP (и наоборот).

Сообщение от Maks Я воздержусь от ответа на данный вопрос. Для своих "развлечений" в сети, я использую линукс.

Я же написал, что есть две системы и по понятным причинам пока не хочу использовать Винду. Тем не менее, я скинул с нее логи и задал вытекающие из них вопросы, которые Вы с коллегой успешно проигнорили. Смысл тогда спрашивать логи, если вы по ним ничего не поясняете?

Как хотите. Держите свои экспертные знания при себе, а вместо помощи тем кто в них нуждается развлекайтесь, называя их параноиками и задавая бесполезные встречные вопросы. За брандмауэр спасибо.

0

Сообщение от Silensio Если верить гуглу, MAC можно узнать по IP (и наоборот)

В локальной сети - да, из вне вместо мак-адреса Вашего ПК выскочит мак оборудования провайдера.

Сообщение от Silensio Тем не менее, я скинул с нее логи и задал вытекающие из них вопросы, которые Вы с коллегой успешно проигнорили. Смысл тогда спрашивать логи, если вы по ним ничего не поясняете?

Разве я Вас просил скинуть логи?

Сообщение от Silensio Как хотите. Держите свои экспертные знания при себе, а вместо помощи тем кто в них нуждается развлекайтесь, называя их параноиками и задавая бесполезные встречные вопросы.

Не бесполезные, а уточняющие.

Суть Ваших претензий, в принципе, понятна, но не бывает дыма без огня.
Все, что Вы описали в данной теме, касательно проблемы, могло быть разовым действием троянского ПО, т.е. заведомо был получен доступ к Вашему ПК, или облачному хранилищу, где (возможно) Вы храните свои файлы.
И я не зря настаиваю на настройках брандмауэра.
Конечно же еще необходимо настроить SRP, но в версии Home/Basic этого не сделать.
Сами файлы передавать по сети в запароленном архиве (при архивации обязательно включать шифрование имен, а сам пароль должен быть надежным).
Не скачивайте и не устанавливайте сомнительное ПО, либо известное ПО из неофициальных источников.
Тоже самое касается и драйверов.
Установите в систему одну из программ-анализаторов сетевой активности, чтобы предупредить вектор атак из сети (не забудьте добавить программу в исключения антивируса).
Также установите надежный пароль на свою учетную запись.
Ну и на закуску, регулярно обновляйте сигнатуры и базы антивирусного ПО.

1

Сообщение от Maks Разве я Вас просил скинуть логи?

Нет, но если разбираетесь, почему тогда не хотите ответить по службам? Вопрос вроде не бредовый и на троллинг не тянет, ведь в описании некоторых из них говорится, что они нужны для работы разных программ (тот же Планировщик).

Может при закрученном брандмауэре включение/отключение служб и не имеет значения, но я вряд ли смогу обойтись только им и анализатором трафика, ибо не очень в этом шарю, могу не обратить внимание на подозрительную активность. А если затем ставить Каспера, то у него брандмауэр будет работать по другим правилам и тогда встает вопрос по службам.

Сообщение от Maks Сами файлы передавать по сети в запароленном архиве (при архивации обязательно включать шифрование имен, а сам пароль должен быть надежным). Не скачивайте и не устанавливайте сомнительное ПО, либо известное ПО из неофициальных источников. Тоже самое касается и драйверов.

Бывает например, что прога надежная, но редкая и к ней есть только самопальный русификатор. Без антивируса его можно проверить через Вирустотал, но вдруг для заражения достаточно только скачать? В таком случае UAC поможет и затемнит экран при активности файла?

И как быть с сайтами в инете? Если нет антивируса, а на сайт внедрили зловредный скрипт или нужно на неизвестный какой-то зайти, так ведь и не узнаешь об опасности. Через разрешенные порты в родном брандмаэуре ничего не проникнет?

Я спрашиваю это чтобы взвесить все "за" и "против" и решить, оставлять родной брандмауэр с вышеприведенными настройками или ставить Каспера, когда Винда закончит обновляться.

Сообщение от Maks Все, что Вы описали в данной теме, касательно проблемы, могло быть разовым действием троянского ПО, т.е. заведомо был получен доступ к Вашему ПК

Троян это и был.

Сообщение от Maks Не бесполезные, а уточняющие.

Вопрос про требования выглядит издевательством с Вашей стороны. Вы подумали, что я тут развлекаюсь, вынуждая отвечать мне дальше и решили сами развлечься, хотя я рассчитывал за несколько исчерпывающих постов получить ответы по всем интересующим меня пунктам и продолжить без опаски работать под привычной мне Виндой, а не растягивать консультацию на месяц и две страницы темы. Я думал, что людям с техничиским складом ума удобнее ответить один-два раза большим постом, чем несколькими маленькими и избирательно, поэтому все, что могло помочь с ответом я сразу и написал.

0

Сообщение от Silensio вдруг для заражения достаточно только скачать?

Недостаточно, должен быть триггер для выполнения сценария.

Сообщение от Silensio И как быть с сайтами в инете? Если нет антивируса, а на сайт внедрили зловредный скрипт или нужно на неизвестный какой-то зайти, так ведь и не узнаешь об опасности.

Установите в браузер плагин от того же каспера.

Сообщение от Silensio Вопрос про требования выглядит издевательством с Вашей стороны. Вы подумали, что я тут развлекаюсь

Зря Вы так. Вы раздули проблему, которая по всем признакам похожа на действие вредоносного ПО (трояна), до масштаба хакерской атаки.
Давайте еще раз пройдемся по векторам угроз и их профилактике.
1. Доступ к компьютеру из вне
- Закрывается брандмауэром;
- Профилактика от трояна.
2. Подмена сетевых идентификаторов (ip-спуфинг)
- При том же пинге ip-адреса, который выдал Вам провайдер, определяется не Ваш мак, а мак оборудования провайдера.
Если бы Ваш ПК и ПК хакера были подключены к одному коммутатору, то да, тогда бы определился мак-адрес Вашего ПК.
К тому же, чтобы украть Ваши персональные данные с какого-нибудь защищенного ресурса, хакеру помимо сетевых идентификаторов необходмы Ваши учетные данные (см. пункт 1).
3. Передача файлов по сети
- Файлы нужно предварительно архивировать с шифрованием содержимого и ставить на архив надежный пароль.
Если речь идет о госуслугах, откройте браузер в режиме инкогнито и работайте.
Банки и иные финансовые учреждения, но вот тут на Ваше усмотрение.
Лично я ничего не передаю в банки через сеть, ибо предпочитаю посещать подобные учреждения лично.
Вам также рекомендую исключить практику передачи сканов паспорта и иных документов через сеть, в противном случае есть вероятность стать обладателем нежелательного кредита или фиктивным директором какой-нибудь сомнительной конторы.
4. Пароли от посещаемых ресурсов (включая электронную почту) должны быть максимально надежными и не содержать в себе фактов биографиии, ФИО владельца и его родственников.
Под надежными паролями подразумевается наличие букв в разных регистрах (заглавная и прописная), цифры и символа.
Дина пароля должна быть не менне 8-ми знаков, в идеале больше. Также необходимо избавиться от привычки сохранять пароли в браузерах и прочем ПО.
5. Антивирусная профилактика: помимо основного антивируса, хотя бы раз в месяц проверяйте систему антивирусными утилитами, например, от DrWeb и AVZ.
Любые вложения, которые приходят по почте, открывайте только после антивирусной проверки этого самого вложения, даже обычные офисные документы (word, excel, pdf и т.п.).
Регулярно (хотя бы раз в неделю), чистите временные файлы браузеров и системы. Смело удаляйте из планировщика сомнительные задания.
И да, работайте в системе под обычной учетной записью с правами пользователя.
Ну и самое главное: устанавливайте только оригинальный дистрибутив системы, никаких сборок и постарайтесь не использовать твики реестра, сторонние программы-оптимизаторы системы и чистилки реестра.

Соблюдая эти правила хакер скорее подавится собственными фикалиями, нежели выудит с Вашего ПК нужную ему информацию.

По службам, на Ваше усмотрение, кроме планировщика можете все отключить.
Понимаете, Вы все говорите "а вдруг", "если бы, да кабы", т.е. абсолютно никакой конкретики, так какая помощь Вам нужна?
Нет 100% гарантии от вирусов и наличия хакерской атаки, т.к. дыры в системах были, есть и будут всегда, можно лишь минимизировать риски, так устроены компьютеры.

1

Сообщение от Maks Вы раздули проблему, которая по всем признакам похожа на действие вредоносного ПО (трояна), до масштаба хакерской атаки.

Троян был, но мне его в систему как-то засунули, что даже антивирус не помог. Сначала ведь собирают инфу об установленном софте, порты сканируют, а потом внедряют зловред. Рекомендациям выше я и так всегда следовал, поэтому и склоняюсь к тому, что использовали очевидную или не очень дыру в системе. Теперь вот хочу принять все возможные меры, даже если в большинстве случаев они будут чересчур.

Сообщение от Maks К тому же, чтобы украть Ваши персональные данные с какого-нибудь защищенного ресурса, хакеру помимо сетевых идентификаторов необходмы Ваши учетные данные

Судя по описанию вируса, это мог быть кейлоггер, снимки экрана могли отсылаться, бэкдор для удаленки. Так что у него эти данные наверняка уже есть и вопрос в том, что и как он теоретически может с ними сделать.

Сообщение от Maks Понимаете, Вы все говорите "а вдруг", "если бы, да кабы", т.е. абсолютно никакой конкретики, так какая помощь Вам нужна?

Куда еще конкретнее? Я и так тут слишком много рассказал. Форум популярный, его и этот долбаный хакер может читать, может даже одним из модераторов тут быть. Но тема в любом случае уже исчерпана.

0

Сообщение от Silensio мне его в систему как-то засунули

Ой не лукавьте, кроме Вас никто не мог запустить этот троян в систему, пусть и неосознанно.
Для того же трояна, как и для других вирусов, нужен триггер, т.е. факт запуска Вами же.

0