вопросы по логам

Список форумов → RMS: Техническая поддержка, тестирование, неполадки и другие вопросы

вопросы по логам

petya

Цитировать выделенное

Сегодня девушка принесла ноут, нод сразу заругался на обнаруженное ваше ПО.
екзешка переименована и имеет версию 5.2.1.0 в реестре ветка с параметрами HKEY_LOCAL_MACHINE\SYSTEM\Remote Manipulator System\v4\Server
Есть папка с логами вашей программы в глубине системы начиная с лета 2013 года лежат логи в формате хтмл. Чтоб их полноценно просмотреть надо какое-то по или браузер полностью всю информацию показывает ?
Полистал логи появилось куча вопросов
1вопрос ..
мог ли злоумышленник установивший это ПО отключить логирование авторизации на этом хосте ? логирование оперций доступа к файлам, экрану, реестру?
2вопрос
В логах почти везде строчки типа

2014-07-22 05:50:33:139   96      Internet-ID: Connection established
2014-07-22 05:50:42:834   96      Restarting network connections.
2014-07-22 05:50:42:866   63
2014-07-22 05:50:42:900   63
2014-07-22 05:50:43:371   63
2014-07-22 05:50:48:533   96      Internet-ID ErrorCode <> 0
2014-07-22 05:50:49:814   63
2014-07-22 05:50:49:892   63
2014-07-22 05:50:50:969   63
2014-07-22 05:50:51:052   63
2014-07-22 05:50:56:084   96      Internet-ID ErrorCode <> 0
2014-07-22 05:51:28:685   63
2014-07-22 05:51:28:762   63
2014-07-22 05:51:29:836   63
2014-07-22 05:51:29:921   63
2014-07-22 05:51:34:954   96      Internet-ID ErrorCode <> 0
2014-07-22 05:52:36:039   63
2014-07-22 05:52:36:126   63
2014-07-22 05:52:37:194   63
2014-07-22 05:52:37:288   63
2014-07-22 05:52:42:353   96      Internet-ID ErrorCode <> 0
2014-07-22 05:53:43:458   63
2014-07-22 05:53:43:534   63
2014-07-22 05:53:43:691   96      Internet-ID: Connection established
2014-07-22 12:14:51:051   35   209.190.31.хх
2014-07-22 13:27:17:098   35   209.190.31.хх
2014-07-22 13:27:20:615   35   209.190.31.хх
2014-07-22 13:27:24:084   35   209.190.31.хх
2014-07-22 13:27:26:173   35   209.190.31.хх
2014-07-22 13:27:29:476   35   209.190.31.хх
2014-07-22 13:27:32:170   35   209.190.31.хх
2014-07-22 13:27:32:241   40   209.190.31.хх
2014-07-22 15:27:55:431   35   209.190.31.хх
2014-07-22 15:27:59:438   35   209.190.31.хх
2014-07-22 15:28:03:668   35   209.190.31.хх
2014-07-22 15:28:06:334   35   209.190.31.хх
2014-07-22 15:28:09:160   35   209.190.31.хх
2014-07-22 15:28:12:676   35   209.190.31.хх
2014-07-22 15:28:15:564   35   209.190.31.хх
2014-07-22 15:28:15:614   40   209.190.31.хх
2014-07-22 20:27:00:442   63
2014-07-22 20:27:05:508   96      Internet-ID ErrorCode <> 0

правильно ли я понимаю
событие 96 - события связанные с регистрацией на вашем сервере ?
событие 63 ? непонятна в логах ее колонки пустые
событие 34 тоже не понятно описания нет
и теперь самое интересно
событие 35 и 40 напротив которых есть внешний ип злоумышленника что они описывают ???
как понять была ли утечка файлов или доступ к экрану ?

Профиль | Сообщений: 2 | Дата создания: 11.12.2014 16:37:01

Re: вопросы по логам

petya

Цитировать выделенное

В ожидании помощи от тех поддержки пришлось разбираться самому.
Поменял пароль на агенте, и поигрался с консолькой .... 35-35-35-35-35-40 это несколько подряд неправильных ввод паролей и пауза перед следующими попытками.
Вся проблема в том, что при правильном логин как и при нажати кнопки отменя событие одно и тоже 35 )))) ну во всяком случае по логам видно что ни экранчик ни файлики не таскали. Я правильно понял ?

Профиль | Сообщений: 2 | Дата создания: 11.12.2014 18:24:07

Re: вопросы по логам

alex
Модератор

Цитировать выделенное

petya,
не понятно, в чем именно вопрос?
если нужно установить злоумышленника - пишите на саппорт, желательно приложив проэкспортированный ключ настроек из реестра.

Профиль | Сообщений: 3449 | Дата создания: 12.12.2014 00:51:22

Авторизация

Зарегистрированный пользователь Новый пользователь

Список форумов → RMS: Техническая поддержка, тестирование, неполадки и другие вопросы