Позвонил товарищ, попросил найти местного "хакера", который в его организации наработал в интернете на 44 тысячи. Товарищ смотрит счет и плачит...

Какие ваши действия?

Как то я находил, но там была наработка в 25 тысяч :)

Было просто:

Пользователь почистил журнал и это сразу бросилось в глаза, а далее он сохранял все скаченые фильмы на диск и с помощью программки восстановления информации мы даже смогли узнать какие фильмы.

Завтра поеду и попробую найти "бандита".

ЗЫ: Сразу говорю безлимитки там не, это будет рекомендовано, но ранее они не перепрыгивали 2-4 тысяч и не нужно это было, а сейчас 44 тысячи....

Жадный платит дважды

(1) Речь не о жадности, сколько лет и не было проблем.:)

(0) [Какие ваши действия]
прикольный вопрос
в топике ни слова об архитектуре сети,
может там сквид стоит

(3) Одноранговая, никаких прокси, ничего, стоит роутер.

Запросить расшифровку у провайдера.

(5) Ну и что это даст? Единственное я узнаю когда это было, а с какого компа не узнаю...

+(6) Это я могу узнать и по статистике.

Раз контора мелкая, то самая тема - разделить счет на всех сотрудников поровну... Тогда они тебе мигом найдут сами крысу

Поймать и покарать анально!  хм.. а, если, окажется вирусяка.. кого будешь карать?

(0)[стоит роутер.]
какой,
если на встроенном linux что-то можно добыть из логов

(8) Тоже вариант, но надо сначало тихо, а потом уже шуметь имея виновника на руках. :)

(10) Длинк 2500.

(0) >Пользователь почистил журнал
Значит вы его знаете? Какой пользователь где чистил и какой журнал?

(13) Это другой случай.

Этот завтра поеду искать, поэтому и спрашиваю, что можно еще сделать?! Пользователь умнеет.

Может будет всё просто, а там хз...

(15) тихо посадить в разрыв сети шниффер и к вечеру получить полный анализ трафика

+ анализ сайтов, откуда шла скачка

если кино/порнуха пофиг, если что-то специализированное то через кадры поиск по интересам

а откуда у пользователя права на чистку логов роутера????

(0)Доказательств ты конечно не добудешь, но вычислить можно по логам, если логи затерты - программа для восстановления информации и поиск по удаленным файлам.

(18)Думаешь D-link пишет столь подробные логи? И даже если и пишет, то сколько он их хранит? Там памяти всего ничего.

(18) Прав нет, это точно, это будем смотреть.

(17) Боюсь, что инфа о наработке за месяц просочилась уже, будут сидеть тих как мышки, а там не знаю.

(19) качать могли чем угодно,
диск дефрагментировать

(19) Если писали на флэшку?

(20) у роутера может быть сводная таблица IP<->свопинг
надо мануалы смотреть на Длинк 2500.

(22)Дефрагментация сама по себе довольно дурацкий способ замести следы, если диск был несильно фрагментирован, то дефрагментация ничего не скроет, тем более не нужно корректно востанавливать файлы, тут главное найти заголовки, т.е имя и размер.

(24) А если IP динамические?

Не, кажется там прописаны на каждой машине.

(24) опаньки

LAN    Статистика переданной и принятой информации на интерфейсе LAN

Status    Device Info    Версия аппаратной части и прошивки модема, скорость ADSL-соединения, адреса порта LAN и серверов DNS
DHCP Clients    Таблица аренды IP-адресов, выданных встроенным DHCP-сервером компьютерам из локальной сети
WAN Info    Таблица состояния виртуальных каналов на интерфейсе WAN
Route Info    Таблица маршрутизации модема
Log    Просмотр содержимого системного журнала событий
LAN    Статистика переданной и принятой информации на интерфейсе LAN

(23)Конечно могли, тут как повезет.
Даже если ты что и накопаешь, то это будут косвенные улики, я бы по такому обвинению просто послал.
В общем попытка не пытка, а на будущее - система учета трафика, и логи в недоступном простым юзерам месте.

В секцию "Админ" можно это перенести, а то я не туда внес. :)

Кстати а юзеры там все более- менее грамотные в плане тырнета, и все ли знают что контора сидит на оплате трафика?

В настоящее время тырить интернет в конторе экономически не выгодно, ибо дома за сущие копейки можно подключить скоростной анлим.

Вполне возможно что какой-то дятел слушал интернет радио, или смотрел ютуб.

(30)
+ вирус
+ торрент

(30) Врятли они это знают, вообще это наша глубинка и 44 тысячи для них громадные деньги.

(31) Антивирусы стоят, касперские, правда в каком состоянии не знаю.


Там женский коллектив, около 10-ка компов, все женщины. Ума не приложу....

Платный траффик? Мои соболезнования.

(34) Спасибо.

(33) ютуб->кино

(36) Я понял. :)

проще хистори браузеров на каждом компе посмотреть. )

безлимит рулит

(+39)когда было по трафику, провайдер сразу предупреждал об аномальном росте трафика

Ну найдешь ты эту женщину и что?  Ей было предоставлено рабочее место с выходом в интернет? Для каких целей? При принятии на работу она была ознакомлена с правилами пользования Интернетом в организации? Письменно? С ней был заключен договор о материальной ответственности?
Нет?
Тогда, имхо, если сотрудница нормальная, то спокойно развернется и уйдет, сказав при этом "пнх" ... а 44 тыр твой приятель спишет себе на убытки.
Да, и не вздумайте самодеятельность проявлять, самостоятельно удерживать из зарплаты при расчете. А то потом прокурор такую пилюлю прописать может, что два раза по 44 ей вернете. Все только через суд, через суд...

Ну или, как вариант, припугнуть бедную женщину бейсбольной битой. :)

провайдер может обманывать

Ээээ. Сейчас помоему даже в селах безлемитка проще и дешевле лимитки..

(0)Это не бо.йан аккардион, а ретро.у моей подруги.парень.пришел и слил.а кроме тырнета нечего?базы  доки?
И что нет ограничение на скачку?адмна на костер!

у знакомых 1 раз вирь поймался - инфу качал, ддосил какие то сайты. Те по скупости своей сидели в инете по лимитке. 20 000 1-х 3 дня заражения (1-й месяц, т.е. его конец) и 67 000 2-й месяц..

И вообще ежели пользуешься не анлимом, то надо заключать с провайдером предоплатный, а не авансовый договор, и не держать больших сумм на балансе.
По крайней мере выберешь баланс и отключат.

(0) так товарищ админ или бизнесмен?

Однопортовый D-Link 2500, наверняка воткнутый в общий свитч, безо всякого софта по учету трафика?

Что же, имеем вполне закономерный результат экономии на железе/софте/админе. Примерно, как от экономии на бэкапах 1С.

Может, теперь товариСч пересмотрит свое отношение к IT?

И кстати почем там вообще мегабайт трафика?
Просто такой расклад -
Если меня коммуникатор на андроиде спокойно кушает около 500мб в месяц, то что говорить про локальную сетку из десяти компов?
Насколько можно понять системного администратора там нет и небыло.
А посему винда может качать обновы, антивирусы обновляются, десять дамочек кормят кур на ферме в однокласниках, парочка роликов с ютуба, в общем на юзера с десяти машин набрать гигов сорок чисто на активном серфинге + всякие обновы вполне реально.
При цене рубль за метр, это как раз сорок и выйдет.

(49) Кстати, вполне похоже, что Windows обновилась на всех десяти компах - там обновления иногда до 100 Мегабайт доходят.

А если даже накачал на 44000, на основе какого Закона он должен возмещать ущерб, ежели не хочет делать этого добровольно? В крайнем случае вернет вам скачанное...

Если на анлим не хотят переходить (вполне возможно что очень дорого), посоветуй такой вариант -
Купить железяку типа этой http://krasnoyarsk.dns-shop.ru/catalog/i131453/#description
И поднять на ней проксю и самбу, и недорого и бонус в виде файлопомойки.

(0) Как такой вариант: если контора небольшая, то начальство всех сотрудников собирает, обрисовывает ситуацию, и ставит условие, что если нашкодивший не признается, то затраты на инет, будут пропорционально распределены между всем сотрудникми, а также все лишены премии и доплат, доплат до тех пор пока на ковер не придет провинившийся.

(53) А тут уже повод написать коллективное письмо в прокуратуру и инспекцию по труду...

А чего за провайдер такой?
Сколько не знаю, у всех кто с юрлицами - предоплата.
Деньги на счету закончились, отрубили интернет.

(53)Я бы за такой финт начальника послал бы прямым текстом.
С какого перепугу работник должен платить за ошибки своих коллег, и жадность начальника на биллинг?
Вернуть деньги уже невозможно, по крайней мере законными путями, искать виновного стоит только для информации.
Даже если найдешь компьютер с которого шел весь трафик, это не факт что качал именно этот работник чей это компьютер.
Учитывая пофигизм в плане учета, можно резонно предположить, что там и учетки не запаролены, а если и запаролены, то пароли висят на мониторах.
Доказать что качал конкретный сотрудник невозможно.

(53)Существует туева хуча местечковых провайдеров, которые своими тарифами вынуждают юриков сидеть на помегабайтке, и зарабатывают нехилые деньги на таких случаях, и договор они специально заключают с оплатой по факту. Провайдер в этой ситуации ничего не теряет, зато есть хорошая возможность заработать.

P.S. у нас такое было, когда был инет по трафику, но сумма делилась на количество абонентов - тариф был 27т.р. за 25 Гб. Тариф был на весь офисный центр, то есть сумма пропорционально скачанному трафику делилась на всех. Народ старался ничего не качать, а только смотреть почту, но 25 Гб уже были включены.
Нам выставили где-то 6.5 т.р. за какие-то 200 Мб, так как, во-первых, оказалось всего 4 организации, подключённых к интернету, во-вторых, в общей сложности был скачан минимум, но сумму-то всё равно надо делить на всех, кто пользуется.
Пришлось переходить на Yota, как и все остальные.

Поэтому - сначала нужно смотреть договор и замеры трафика, а потом искать пользователя, если действительно что-то серьёзное было скачано.

Я бы с логов начал, а то у знаком (2 компа), тоже начал счет  расти. Запросили логи, а там по логам трафик идет по выходным, когда вообще никого нет в офисе. После скандала сумма счета опять пришла в обычное русло.

Т.е. разница м/у сумами тут в раз 20, соответственно прикинуть а вообще реально столько скачать при ширине их канала?

Завтра узнаю всё.

Наверное...:)

44к, это сколько трафика у вас? =)

(60) Не знаю, это за месяц сентябрь, завтра буду смотреть по дня.

(61)Кстати посмотри договор с провайдером, вполне может быть, что по договору интернет предоставляется по предоплате, т.е пров обязан был отключить когда деньги на счету кончились, а не в минуса загонять.

(0) писец, лимитный инет и нет никакого логирования, жалко там на сотку не накачали.