Изпечатай

[ddantgwyn]

Не се сърди на хората пишещи тук. Всички работим с информация, която в твоя случай е недостатъчна. go_fire не случайно каза, че вероятно ти трябва човек на терен, а не човек във форум понеже дори и да става въпрос за един и същи специалист информацията, която ще има е различна.

Даването на достъп до главния маршрутизатор на кооперацията също би могло да помогне. Стига да му знаят паролата и публичния IP адрес

Но може да се започне и с марка и модел на маршрутизатора. Нищо чудно и доставчика да си е оставил ръцете по него.

[ddantgwyn]

Това с единия рутер на цялата кооперация е доста слаба точка в целята история.
Дай ни малко детайли - къде в този рутер колко ЛАН порта има че сте се навързали цяла кооперация? Снимка на рутера ще е най-добре.

Еее, стига де. Какво пречи след него да има комутатор с достатъчно портове на него?

А аз се чудя защо не направят точно така -- една машина с linux за NAT, след нея един управляем комутатор с достатъчно портове за да има по един за всеки апартамент и това е. Така много лесно ще може да се хване дали е вътрешна работа или е някой от външната мрежа.

[10101]

Някъде в темата бях обяснил,че е без значение,дали има свързан хард диск и също така е без значение да ли компютърът е свързан с интернет мрежата.Ще напомня,че купих нов хард диск,на който инсталирах Kali Linux и без да влизам в тази мрежа още същия или на другия се появи отново искането за паспорт.Това е така защото този вирус е някъде в компютъра.Това което знам със сигурност е,че не е в хард диска,и не е и в РАМ паметта.Реагира само на Ресет или Рефлаш на Биоса,но само временно.Също така,мисля,че е програмиран в колко часа и на коя дата да поиска парола.Единственното което може да го забави примерно ако е казано,че ще иска паспорт в 15 часа, а аз работя до 16 ч. и да не се налага рестарт.

Подчертаното е интересната част. Мрежата на въпросната кооперация може само да допренася, но да не е основен източник на проблема.

[ddantgwyn]

Някъде в темата бях обяснил,че е без значение,дали има свързан хард диск и също така е без значение да ли компютърът е свързан с интернет мрежата.Ще напомня,че купих нов хард диск,на който инсталирах Kali Linux и без да влизам в тази мрежа още същия или на другия се появи отново искането за паспорт.Това е така защото този вирус е някъде в компютъра.Това което знам със сигурност е,че не е в хард диска,и не е и в РАМ паметта.Реагира само на Ресет или Рефлаш на Биоса,но само временно.Също така,мисля,че е програмиран в колко часа и на коя дата да поиска парола.Единственното което може да го забави примерно ако е казано,че ще иска паспорт в 15 часа, а аз работя до 16 ч. и да не се налага рестарт.

Подчертаното е интересната част. Мрежата на въпросната кооперация може само да допринася, но да не е основен източник на проблема.

От последните „разкрития“ оставам с впечатлението, че или проблема е в доставчика -- имаме pppoe връзка към него и пак имаме чужда заразена машина или човека не умее да обяснява добре.

PS

Горното не отменя вината на потребителя, който трябва да флашне отново BIOS-a, да преинсталира дистрибуцията си отново, като този път сложи силни пароли и на root и на обикновения потребител и чак тогава да опитва да се връзва по мрежата.

Аз не знам да има начин да се промени UEFI без да се има пълен контрол върху операционната система на машината.

И още нещо, което е интересно -- малко повече информация как се заразяват тези чужди компютри? Как са включени към мрежата, каква операционна система работи на тях, има ли пароли на потребителите etc.

[makeme]

По-горе мисля, че беше написал, че искало парола на всички компютри в мрежата така че това отпада.
Но все пак @dsp250 да напише отговор де , то не пречи. Колкото повече информация, толкова по-добре.

Темата много се разводни и явно е трудно да се следи какво съм се опитал да Ви обясня.
Нищо не е отпаднало.Тази мрежа е заразена отдавна.Случвало се е на колеги от работата да им се развали лаптопът и тъй като занаят,че имам някакви хобаджийски познания ме помолят да им го оправя.При донасянето в къщи и включването към мрежата,след първият рестарт лаптопът им получава същия черен екран и иска парола.

В такъв случай, моля те напиши поне модела на дъното

Някъде в темата бях обяснил,че е без значение,дали има свързан хард диск и също така е без значение да ли компютърът е свързан с интернет мрежата.

Това за харда не си го казвал или аз не мога да го намеря (каза, че си пробвал с нов хард {отново закачен}), но ако си прав , че е така значи 100% имаш проблемен / хакнат биос, което пък донякъде конфликтира с  това:

Случвало се е на колеги от работата да им се развали лаптопът и тъй като занаят,че имам някакви хобаджийски познания ме помолят да им го оправя.При донасянето в къщи и включването към мрежата,след първият рестарт лаптопът им получава същия черен екран и иска парола.

Казвам донякъде, тъй като това означава, че има някакъв заразен компютър или бот в локалната мрежа (или е пренасочен от вън), който постоянно фулди някакъв сериозен хак през мрежата (поддържа множество операционни системи,дъна и биоси), което пък от своя страна е прекрасно, тъй като можеш да качиш някакъв снифер или просто да наблюдаваш трафика и ще изкочи хакерчето (тук колегите могат да помогнат повече).

Също така, моля те не мога да намеря никъде да си споделил дали в Биосите на (заразените) устройства има включено "boot from network" или нещо от сорта.

ПП: Това за "сериозния хак" е странното и фантастично в цялата история, но да кажем че ти вярвам, като се поуча от казаното от теб:

Всъщност ако се замислите повечето хора сме устроени така,че да вярваме на неща които нашето познание познава.След тази граница решаваме,че това е фантазия или нещо такова.

[dsp250]

Ще опитам още веднъж,дано този път се разберем..
1. Нека оставим за сега мрежата на кооперацията,тъй като ползувам директен достъп до нета и мрежата не ме интересува.
2 .След като си заразих компютъра ,купих нов хард от магазина
3 .Смених RAM паметта
4 .Купих нова флашка и свалих нов ISO файл на отдалечен компютър,като там направих Bootable USB Drive
5. Преди да свържа новия хард флашнах отново биоса
6. Инсталирах

* Двете места ,където според мен може да е вирусът са BIOS  EEPROM-а и по-малко вероятно в процесора,макар и възможно

На другия ден получих поредния имейл и всичко започна отново.
Днешният имейл още не съм го получил иначе щях да го кача и него
Умишлено съм закрил част от името,тъй като се ползува името на собственика на кооперацията
Също така съм закрил и част от IP - то на подателя,тъй като това е IP - то на кооперацията,което е манипулирано вероятно чрез някой от инструментите в Кали.

Съжалявам,но сайта ми казва,че файловете са ми голями можах да кача само този

[cybercop]

Защо не си направиш нова поща и да видим, дали хахорчето ще разбере ? И не е зле да си провериш добавките на уеб браузъра.

[pgmgm]

Стана ми интересно, и за това се регистрирах....

Яка е_авка си правят с теб, и начинът всичко това да приключи е елементарен: сложи си ТИ парола на биоса, и няма да могат да ти я сменят!

https://social.technet.microsoft.com/Forums/sharepoint/en-US/65e32050-64f3-4142-bfde-fab336930f44/remotely-configure-bios-admin-password-for-all-computers-on-network-via-powershellcmdetc?forum=w7itprosecurity


https://social.technet.microsoft.com/Forums/windows/en-US/dda59e6c-01ea-4950-bc3c-dfb385311484/setup-bios-password-using-powershell?forum=ITCG

Просто някой remote сменя паролата. И тъй като тя е "празна", т.е. няма парола - просто ти задава нова парола, и ти се вкарваш във някви филми. И всичко става по мрежата

Сложи си една парола, и ще забравиш за проблема. Ако не искаш да ти я иска при старт на компютъра - задай и да е "Setup Only" - така ще ти я иска само за да "влезеш" в BIOS, но не и при старт на компютъра.

Не е никакъв хакер това - това е някое съседско хлапе.
Това, че не ползваш ЛАН-а на кооперацията не е вярно - та нали трябва да се вържеш към Интернет?
Ползваш ПППОЕ връзка - ами нали пак трянва от някъде да мине тая връзка, и си вързан към кабела?
Е, явно хакера е вързан към същия кабел.
ПППОЕ е несигурен протокол и означвва point to pont protocol over ethernet - т.е. за да изградиш ПППОЕ ти трябва ethernet  свързаност

Та, нищо необичайно няма - някое хлапе явно те наблюдава как се палиш, и се гъбарка много жестоко

В крайна сметка - взми си забий една парола на БИОС-а, и си я знай само ти.
После кажи дали въпросният хакер е успял да я ресетне отново.

Линка, който съм дал е към Микромеките... но това в случая няма значените - на него просто се изпълнява една команда, която намира компютъра-жертва по netbios name, и действа. Т.е. операционната ситема на атакуващия няма значение каква е, както и операционната система на жертвата също не играе роля. Тук се действа на по-ниско ниво.

Ето и добавка:

http://www.kozeniauskas.com/itblog/2008/09/24/hp-remotely-change-bios-password-with-a-script/

Уж за ХП, ама кой знае и на какво друго ще работи

[dsp250]

Момчета,първо нещо за което се сетих беше да си поставя парола на Биоса.
Ефекта е ,че все едно я няма.
Може да не съм професионалист,както повечето от Вас,но за 2 години ходене по мъките,поне тези елементарни неща ги научих
Ето ,качвам още един от имейлите.

[dsp250]

Момчета,първо нещо за което се сетих беше да си поставя парола на Биоса.
Ефекта е ,че все едно я няма.
Може да не съм професионалист,както повечето от Вас,но за 2 години ходене по мъките,поне тези елементарни неща ги научих
Ето ,качвам още един от имейлите.

Благодаря Ви за линка,ще го проуча

[dsp250]

Стана ми интересно, и за това се регистрирах....

Яка е_авка си правят с теб, и начинът всичко това да приключи е елементарен: сложи си ТИ парола на биоса, и няма да могат да ти я сменят!

https://social.technet.microsoft.com/Forums/sharepoint/en-US/65e32050-64f3-4142-bfde-fab336930f44/remotely-configure-bios-admin-password-for-all-computers-on-network-via-powershellcmdetc?forum=w7itprosecurity


https://social.technet.microsoft.com/Forums/windows/en-US/dda59e6c-01ea-4950-bc3c-dfb385311484/setup-bios-password-using-powershell?forum=ITCG

Просто някой remote сменя паролата. И тъй като тя е "празна", т.е. няма парола - просто ти задава нова парола, и ти се вкарваш във някви филми. И всичко става по мрежата

Сложи си една парола, и ще забравиш за проблема. Ако не искаш да ти я иска при старт на компютъра - задай и да е "Setup Only" - така ще ти я иска само за да "влезеш" в BIOS, но не и при старт на компютъра.

Не е никакъв хакер това - това е някое съседско хлапе.
Това, че не ползваш ЛАН-а на кооперацията не е вярно - та нали трябва да се вържеш към Интернет?
Ползваш ПППОЕ връзка - ами нали пак трянва от някъде да мине тая връзка, и си вързан към кабела?
Е, явно хакера е вързан към същия кабел.
ПППОЕ е несигурен протокол и означвва point to pont protocol over ethernet - т.е. за да изградиш ПППОЕ ти трябва ethernet  свързаност

Та, нищо необичайно няма - някое хлапе явно те наблюдава как се палиш, и се гъбарка много жестоко

В крайна сметка - взми си забий една парола на БИОС-а, и си я знай само ти.
После кажи дали въпросният хакер е успял да я ресетне отново.

Линка, който съм дал е към Микромеките... но това в случая няма значените - на него просто се изпълнява една команда, която намира компютъра-жертва по netbios name, и действа. Т.е. операционната ситема на атакуващия няма значение каква е, както и операционната система на жертвата също не играе роля. Тук се действа на по-ниско ниво.

Ето и добавка:

http://www.kozeniauskas.com/itblog/2008/09/24/hp-remotely-change-bios-password-with-a-script/

Уж за ХП, ама кой знае и на какво друго ще работи

Имам прекаран отделен кабел от балкона до най-близкия стълб,където има суич и нямам нищо общо с мрежата на кооперацията

[pgmgm]

Имам прекаран отделен кабел от балкона до най-близкия стълб,където има суич и нямам нищо общо с мрежата на кооперацията

Мхм, а той най-близкия суич на стълба е свързан към кораба-майка
Та нали и този суич е свързан с кооперацията?

Това е някой от "вътрешните" хора в кооперацията.
Ако си сложиш парола на БИОС-а няма как някой да ти я смени, без да я знае! Става, но с физически достъп до компютъра, и то на някакви по-архаични дънни платки. Новите БИОС чипове са енергонезависими, и не се ресетват дори като му извадиш батерията. Т.е. ако някой е намерил начин ти ресетне паролата от разстояние - това наистина ще е много интересен случай!

[lastcyrol]

Готини фантазии има ....този чиляк...ех да можех като него да фантазирам....тоз хахор му е хахорнал фантазията.

Виждам тука едни хора без работа се опитват да помагат на някакъв фантазьор със измислените му проблеми с вируси и хакери. То не бяха хакнати BIOS-и EEPROM-ми, телефони хакнати от мега-мощен Bluetooth излъчвател с обсег почти 1км (то излъчвателите в тези телефони няма значение, колко са мощни, щото трябва само да приемат за да бъдат „хакнати“), елитни... пардон, етични хакери (но с хонорар няколко хиляди, 'бах му етиката), велики системни администратори (за които навярно windows е синоним за операционна система), направо не знам какво още да очаквам от тази тема. Поне не съм се забавлявал толкова да чета глупости от много време насам. Само ще ви обърна внимание, че на призивите да ви даде сорса на писмата от „хакера“, питащия ви дава снимка от екрана на компютър на два реда от някакво писмо, със повечето информация задраскана (щото е тайна, само хакера я знае) и обърнете внимание на техническата култура, всички сметки (по еврейскому account-и) на пощи са в abv.bg — еталонът за сигурност.

Както вече предположи някой, този човек най-вероятно е същия трол дето преди време му бяха „хакнали“ компютъра докато спи.

[makeme]

@dsp250.. човече, спри да налагаш своето мнение при условие, че до сега не си успял да се справиш.
Послушай един мъдър човек:
Лудост: да правиш едно и също нещо отново и отново, и да очакваш различни резултати.

Колегата @pgmgm ти е дал решение, което дори покрива собтвените ти наблюдения!:
Също така,мисля,че е програмиран в колко часа и на коя дата да поиска парола.Единственното което може да го забави примерно ако е казано,че ще иска паспорт в 15 часа, а аз работя до 16 ч. и да не се налага рестарт. (най-вероятно след това се прибираш)

Все още чакам да напишеш модела на дъното, ма то и няма смисъл де понеже явно нямаш желание за нищо друго освен философия (но път там можеш да се поучиш от Айнщайн )

ПП: Хаха @lastcyrol е направил много хубава ретроспекция докато съм писал Ма какво да се прави, като се опитваш да помогнеш, но не знаеш дали отсрещния човек иска да му бъде помогнато или има други мисли
 

[petar258]

Имам прекаран отделен кабел от балкона до най-близкия стълб,където има суич и нямам нищо общо с мрежата на кооперацията
[/quote]
При тази система с pppoe докато си на този доставчик винаги имаш общо ако не с всичките му клиенти, то поне с една доста голяма група от тях. И при такива проблеми е много лекомислено да се закачаш без рутер между доставчика и твоя компютър. Рутер не от доставчика, а твой, тъй като стана ясно че техните рутери са като отворена порта. Един пример от близкото минало пак с пппое и компютър с XP, имаше някакъв нов вирус който заразяваше през кабела докато не се обнови с определена кръпка. Но за това бяха нужни няколко минути. И тъй като в мрежата на доставчика е имало и други заразени компютри, докато бучна кабела и след 2 секунди вече е заразен и почва да отброява 30 секунди до рестарт. Така че го взех в къщи, където съм през рутер и там успях да го обновя.
През това пппое може някой да пуска и boot по мрежа, и някой хубав експлоит, и който е с уязвима машина лепва нещото. И няколко пъти те питат да не би да ти е пуснат network boot в BIOS-а а ти ги игнорираш.
А сега има и по-модерни експлоити, включително и изтеклите от NSA, и някой яко те цака а ти не вземаш от дума. Така че докато не дойде някой на място да направи това което ти не искаш или не можеш, няма да се оправят нещата.
PS
На нас не ни се случват такива филми щото не разбираме и не правим грешките на по-умния от нас.