Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » Службы - Как отследить запуск скрипта с удаленного ПК

Ответить
Настройки темы
Службы - Как отследить запуск скрипта с удаленного ПК

Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать


Проблема такого рода. Начали сервак переносить, смотрим на шаре к нему постоянно лезут ПК, хотя лезть вроде как не должны.
У юзеров на ПК, происходят запросы на ИП адрес сервера по 445 порту, от процесс ИД 4 - то есть system.
Есть подозрения, что где-то сидит скрипт PS и делает Invoke-Command {......} Основные политики ГПО просмотрели, в планеровщиках во всех очевидных местах тоже нет скрипта, на ПК юзеров тоже нет.
Не посоветуете как лучше всего отловить негодяя? Или от имени какого Юзера запускает или с какого ПК происходит запрос?

Серверов много, 2008, 2012, конкретно этот который хотим убрать под 2008

Отправлено: 15:57, 04-12-2020

 

Старожил


Сообщения: 408
Благодарности: 69

Профиль | Отправить PM | Цитировать


Цитата krotts:
смотрим на шаре к нему постоянно лезут ПК, хотя лезть вроде как не должны. »
к каким ресурсам лезут? посмотрите открытые файлы на сервере, что там показывает?

Отправлено: 16:23, 04-12-2020 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать


Они просто обращаются к расшаренной папке и пытаются скрипт там запустить. По-моему это не имеет ни какого значения

Отправлено: 16:37, 04-12-2020 | #3


Старожил


Сообщения: 408
Благодарности: 69

Профиль | Отправить PM | Цитировать


Цитата krotts:
обращаются к расшаренной папке и пытаются скрипт там запустить »
? скрипт
Цитата krotts:
Или от имени какого Юзера запускает или с какого ПК происходит запрос? »
это все видно в мониторинге шары, открытые файлы

Отправлено: 23:28, 04-12-2020 | #4


Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать


Он запускает от того юзера, что залогинен на ПК, на шару лезет залогиненный юзер. Авторизацию в скрипте можно прописать разную. Можно лезть от админа и запускать скрипт, а можно под правами юзера.

А вот сам скрипт с какого ПК или сервера, ломиться на все ПК. ПО этому отлавливать нужно на конкретном ПК юзера.

PS
тему просил уже 3 раза перевести в раздел вин 10, так как к серверу эта тема не имеет ни какого отношения. Шара могла быть на ПК или на НАСе, было бы ровно тоже самое. Да и скрипт может быть банально на каком-нибудь терминале...

Отправлено: 12:11, 06-12-2020 | #5



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » Службы - Как отследить запуск скрипта с удаленного ПК

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Прочее - [решено] Отследить сетевые пакеты от ПК к серверу RayW Сетевые технологии 6 22-04-2019 13:12
Разное - [решено] Как отследить запуск "Диспетчера задач"? xariton Microsoft Windows 7 2 24-08-2017 12:57
VBS/WSH/JS - Как подставить запуск скрипта, вместо системной утилиты. caracarum Скриптовые языки администрирования Windows 5 19-10-2016 11:32
[решено] Как отследить весь трафик ПК? igornitrex Хочу все знать 6 30-03-2012 06:40
Запуск сервера удаленного доступа Guest Сетевые технологии 1 10-09-2003 22:21




 
Переход