SEOSERVISE - Защита информации.

 
   
 

Главная


 


В обновленной системе новая проблема В бухгалтерию компании Acme 15 сентября пришел запрос от кредитной компа­ нии, пытающейся отследить источник мошенничества с кредитными карточками. Так случилось, что многие клиенты кредитной компании, сообщившие о случаях мошен­ничества, делали покупки на Web -узле компании Acme Fashions между 1 августа и 1 сентября. В компании были убеждены в том, что информация о кредитных карточках клиентов каким-то образом была украдена у компании Acme . Раньше руководство Acme Fashions уже сталкивалось с проблемами подмены цен и успешно справлялось с ними. Теперь было необходимо решать вопрос о возможном воровстве номеров кредитных карточек. Была приглашена другая группа экспертов, которая должна была помочь в оценке ситуации. Эксперты обнаружили, что в журналах Web -сервера отсутствуют данные за 29 авгу­ста. На основе этого факта возникло предположение о том, что хакер мог удалить со­ держимое файла C :\ WINNT \ Syetem 32\ logPiles \ H 3 SVCl \ ex 20010829. log , в котором эти дан­ ные находились. Размер файла был уменьшен до 0 байт. Было абсолютно очевидно, что для удаления данных из журналов Web -сервера IIS хакер должен был обладать ад­ министративными привилегиями по его управлению. Поскольку никаких других доказательств вмешательства взломщика обнаружено не было, группа экспертов могла лишь предполагать возможную причину взлома. При исследовании содержимого жесткого диска оказалось, что файл purchases . mdb одно­ временно присутствует в двух каталогах. Каким же образом файл purchases . mdb из каталога C :\ ACMEDATA был скопирован в каталог C :\ Inetpub \ wwwroot ? Системный администратор компании Acme Fashions под­ твердил, что файл purchases . mdb использовался для хранения информации о заказах, а именно: имени клиента, адреса доставки, перечня приобретенных товаров и номера кредитной карточки, которая использовалась для оплаты покупки. Разработчики при­ ложения уверяли руководство компании в том, что файлы базы данных хранятся за пределами корневого каталога документов Web -сервера ( C :\ Inetpub \ wwroot ). Поэто­ му группа экспертов решила, что копия файла purchases . mdb была создана именно в день совершения мошенничества — 29 августа 2001 года в 11:33, Это и была работа хакера. Скорее всего, взломщик скопировал файл из каталога C :\ ACMEDATA в каталог C :\ Inetpub \ wwwroot , а затем загрузил его с использованием броузера, передав на сер­ вер запрос http :// www . acme - fashions , com / purchases , mdb . Однако после загруз кихакер, вероятно, забыл удалить копию файла из каталога C :\ Inetpub \ wwroot .

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |