Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Утилиты - Сервер пытаются взломать, как узнать IP взломщика

Ответить
Настройки темы
Утилиты - Сервер пытаются взломать, как узнать IP взломщика

Ветеран


Сообщения: 1504
Благодарности: 110


Конфигурация

Профиль | Отправить PM | Цитировать


Доброе время суток. Имеется Windows SRV 2008 R2 STD, на нем несколько ролей, включая интернет-шлюз (RRAS) и ДНС, статический IP. В последнее время сервер начали "ломать" - в журнале событий в Безопасности много событий типа (ниже). Вопрос - как узнать IP-адрес, и любую возможную информацию о компьютере который производит взлом ?

Цитата:

Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: USER
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc0000064

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: -
Порт источника: -

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

-------
Начал изучать Линукс. Если некоторые вопросы связанные с ним кажутся знающим дилетантскими, просьба не нозить.


Отправлено: 14:22, 19-04-2017

 


Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Утилиты - Сервер пытаются взломать, как узнать IP взломщика

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2008 R2 - [решено] Пытаются взломать сервер, как поступить? Sermion Windows Server 2008/2008 R2 12 24-04-2013 20:13
Как узнать свой IP hogben 2 Хочу все знать 20 13-08-2010 20:55
Вопрос - [решено] пытаются просканировать IP.адрес gemazaev Защита компьютерных систем 13 22-09-2009 07:15
Пытаются взломать, что делать? Varheyt Защита компьютерных систем 3 08-10-2007 08:40
Как узнать IP Rudy Сетевые технологии 10 23-08-2004 18:03




 
Переход