PDA

Показать полную графическую версию : Неизвестный подключается по RDP


tyoma_xp
27-02-2014, 12:45
Добрый день. Ситуация такая. Установлен Windows 2003, поднят сервер терминалов.
В диспетчере службы терминалом периодически стала появятся запись вида:
Сеанс: #8032
Пользователь: пусто
Состояние: Подключено
Тип: Microsoft RDP 5.2
Имя клиента: а
больше никакой информации нету

зато в событиях:
Удаленный сеанс от клиента по имени a превысил максимальное число неудачных попыток входа. Сеанс был принудительно завершен.

Найти сего супостата никак не получается. Компьютера с именем "а" в сети нету. Попытки подключения не пропадают после отключения интернет или wi-fi.
На роутере в разделе DHCP тоже нет ничего похожего на этот "а". Прошелся по кабинетам, тоже вроде вредителя из своих быть не может, к тому же зачем, если свои и так имеют свои логины и пароли.
Может какое-то приложение пытается установить соединение, само по себе?

Как найти супостата, хотя бы IP-шник. Или может установить на RDP сессию фильтр и перечислить в нем разрешенные IP? - если это можно сделать, то как?

Angry Demon
27-02-2014, 12:56
Или может установить на RDP сессию фильтр и перечислить в нем разрешенные IP?
Вернее, использовать брандмауэр/файрволл, в котором запретить всё, кроме разрешённых адресов.

tyoma_xp
27-02-2014, 13:46
спасибо, но изначальный вопрос был все таки в возможности найти проблему. что это за компьютер с сетевым именем "а", который ломится на сервак. не найдя проблему нормально запретить или разрешить все равно не получится. хотя устанавливать стороннее ПО на сервер тоже не хочется.

WindowsNT
27-02-2014, 14:41
Если порт RDP открыт для доступа снаружи, то это вполне себе китайцы ломятся, угадывая пароли. Много раз такое видел.

tyoma_xp
27-02-2014, 14:43
отключаю интернет но все равно продолжает ломится. но проверю на фаерволе еще раз возможность доступа, она должна быть открыта только для ограниченного списка. все же мне кажется что это какая то программа, возможно вирус. но не могу найти откуда.

WindowsNT
27-02-2014, 17:18
Ну так смотрите хотя бы netstat /?.

El Scorpio
03-03-2014, 05:04
Компьютера с именем "а" в сети нету. »
Что показывают команды ping a , arp a, tracert a?
Первая должна выдать IP-адрес данного компьютера, вторая - MAC-адрес, третья - последовательность промежуточных маршрутизаторов.

отключаю интернет но все равно продолжает ломится. »
Возможно у кого-то к компьютеру подключен личный usb-модем, а какая-нибудь программа занимается пробросом портов во внутреннюю сеть.

maxandrey
03-03-2014, 16:19
Чтобы лишнее ПО не ставить, можно скачать бесплатную утилитку Anvir portable (прям у производителя с сайта, со страницы загрузки).
Запускаешь, переключаешься во вкладку с процессами и там внизу жмешь отображать Соединения (тот же netstat, только в удобном графическом виде) и смотришь.
Может быть удастся обнаружить.




© OSzone.net 2001-2012