Здравствуйте.

Есть машина на win 2003. Есть подозрение что к машине подбирают пароль из вне. Думал есть какая то зараза, но в разделе лечения посоветовали обратиться сюда. Вот ссылка на ту тему http://forum.oszone.net/thread-338020.html

Спасибо

Есть подозрение что к машине подбирают пароль из[]вне. »

Какое основание для таких подозрений?

И коли извне — то в "Лечение от вредоносных программ" смысла обращаться не было вообще.

PS
polonin

Кстати, у меня на WS2003 (полагаю что у вас тоже не win 2003, а Windows Server 2003) из логов подключений (в папке C:\WINDOWS\system32\LogFiles\MSFTPSVC1) и сообщений Cистемы в "Просмотре событий" от источника MSFTPSVC типа
The server was unable to logon the Windows NT account 'root' due to the following error: Logon failure: unknown user name or bad password. The data is the error code.
следует, что ко мне регулярно, практически каждый лень, пытаются продолбиться.

Уже лет десять пытаются. И что? Ну нет у меня пользователей со стандартными именами типа root, admin и т.д., и нет паролей типа 1111111, qwerty, root, admin и т.д (да и вообще нет словарных).

Здравствуйте, мой коллега, системный администратор утверждает что на машину попал вредонос подбирающий пароль. Но вылечить машину самостоятельно не может. <CUT> видимо человеку, который работает за ним, для чего то надо чтобы дата была 30 ноября 2018 года. »
коллега, который обследовал машину до лечения.
Цитирую - Диагностика событий аудита безопасности. Анализ поведения клиента - на сервер поступают пакеты с запросами ntlm авторизации. Выполнил мониторинг соединений, нет информации по взаимосвязи с приложением отсылающим пакеты. Произвел антивирусную проверку. Диагностические утилиты procexp и procmon выдают ошибку и не запускаются. Есть признаки заражения или повреждения ОС - на клиенте установлено устаревшее по windows 2003. »
один другого круче... то дата левая, то призрнаки обнаружены.
Сервер терминалов ли? Локальная сеть и ресурсы расшаренные имеются ли? Логи событий системы хоть один из указанных специалистов глядел, сюда их можно предоставить?

Когда то, давным давно да, был сервер терминалов. Теперь используется просто как рабочая станция для бухгалтера. ОС: Windows Server 2003 R2 Enterprice Edition SP2. Комп в локальной сети. Есть несколько сетевых папочек. Журнал "Система" поврежден. В журнале "Безопасность" нашел вот такое событие
Тип события: Аудит успехов
Источник события: Security
Категория события: Вход/выход
Код события: 540
Дата: 05.12.2018
Время: 14:20:11
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: SERVER
Описание:
Успешный сетевой вход в систему:
Пользователь:
Домен:
Код входа: (0x0,0x926D48)
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: USER-ПК
Код GUID: -
Имя вызывающего пользователя: -
Домен вызывающего: -
Код входа вызывающего: -
Код процесса вызывающего: -
Промежуточные службы:-
Адрес сети источника: 192.168.0.210
Порт источника: 0


Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Я подключался через TeamViewer. Может быть, этот успешный анонимный вход и есть теамвивер.

Адрес сети источника: 192.168.0.210 »

Ну и кто у вас за компьютером с этим IP сидит?

Журнал "Система" поврежден »

Очистить его не получается?

Успешный сетевой вход в систему:
Пользователь:
Домен:
Код входа: (0x0,0x926D48)
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: USER-ПК]
И что? Кто-то успешно в ваши "общие папочки" полез ковыряться.

Журнал отчистил. Спасибо, за инфу про общие папки. Короче, поинтересовался снова в чём суть проблемы. Эта машина ломится на сервер терминалов (на win 2008).
Вот лог журнала "Безопасность"
Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: Администратор
Домен учетной записи: SERVER

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc000006a

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции: SERVER
Сетевой адрес источника: 192.168.0.85
Порт источника: 2409

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

Так вот на этом 85 айпишнике - win 2003.

Эта машина ломится на сервер терминалов (на win 2008)
Ну ищет она расшаренные папки. Ну и что? Подозреваю, что не только на эту машину ломится, а всю сеть обнюхивает.
Поди, какой-нибудь антивирус с криво настроенными параметрами обновления ломится куда не попадя.

polonin, если это - все - ты поднял бурю в стакане. Ломятся - это когда идёт перебор пароле, как было сказано выше,- сотни попыток входа с разными учетными данными. А это... это - ничего не было.

Дак хорошо если так, просто бухгалтерия переживает.

Проблему решил тем, что создал нового учётку админа с сложным паролем и разлогинился из проблемной. Велел пользователю пользоваться только новой учеткой. Теперь из win 2003 на win 2008 никто не долбится. Тему можно закрыть.

Велел пользователю пользоваться только новой учеткой »

Старую, если не хотите удалять, можете заблокировать ("Отключить учётную запись") — и у пользователя тогда даже возможности не будет пользоваться ей.

однозначно отключить старую УЗ - тогда и расшаренные ресурсы с ее правами станут недействительными.