дмитрий0101
07-10-2008, 13:15
Доброго времени суток всем, есть win 2003, две сетевых, user gate на раздаче интернета, hamachi для удаленного админства. Проблема с сегодняшнего утра нашел в событиях безопасности такие записи:
Операция с объектом:
Сервер объекта: LSA
Тип операции: Query
Тип объекта: SecretObject
Имя объекта: Policy\Secrets\L$HYDRAENCPUBLICKEY_dd2d98db-2316-11d2-b414-00c04fa30cc4
Код дескриптора: 1156448
Основной пользователь: SERVER$
Основной домен: WORKGROUP
Основной код входа: (0x0,0x3E7)
Пользователь-клиент: Администратор
Домен клиента: SERVER
Код входа клиента: (0x0,0xB0279B)
Доступ: Неизвестный специальный доступ (бит 1)
Свойства:
-
Дополнительные данные: -
Дополнительные данные 2: 0x2
Маска доступа: %16
а ранее была такая запись:
Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: ADMIN
Исходная рабочая станция: \\216.85.242.203
Код ошибки: 0xC0000064
хотя ни какой учетки ни Admin ни Administrator нет
ну и периодически были записи во вкладке системы от источника Lsasrv:
Анонимный сеанс, подключенный с 208.52.174.26, попытался открыть дескриптор политики LSA на этом компьютере. Эта попытка была отклонена с кодом STATUS_ACCESS_DENIED для предотвращения передачи анонимному клиенту секретных сведений.
причем адреса с которого подключаются анонимные сеансы всегда разные, я уже в панике, что это вирус или кто-то пытается пробиться на мой сервер?
Операция с объектом:
Сервер объекта: LSA
Тип операции: Query
Тип объекта: SecretObject
Имя объекта: Policy\Secrets\L$HYDRAENCPUBLICKEY_dd2d98db-2316-11d2-b414-00c04fa30cc4
Код дескриптора: 1156448
Основной пользователь: SERVER$
Основной домен: WORKGROUP
Основной код входа: (0x0,0x3E7)
Пользователь-клиент: Администратор
Домен клиента: SERVER
Код входа клиента: (0x0,0xB0279B)
Доступ: Неизвестный специальный доступ (бит 1)
Свойства:
-
Дополнительные данные: -
Дополнительные данные 2: 0x2
Маска доступа: %16
а ранее была такая запись:
Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: ADMIN
Исходная рабочая станция: \\216.85.242.203
Код ошибки: 0xC0000064
хотя ни какой учетки ни Admin ни Administrator нет
ну и периодически были записи во вкладке системы от источника Lsasrv:
Анонимный сеанс, подключенный с 208.52.174.26, попытался открыть дескриптор политики LSA на этом компьютере. Эта попытка была отклонена с кодом STATUS_ACCESS_DENIED для предотвращения передачи анонимному клиенту секретных сведений.
причем адреса с которого подключаются анонимные сеансы всегда разные, я уже в панике, что это вирус или кто-то пытается пробиться на мой сервер?