|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - как могли создать нового админа от имени SubjectLogonId 0x3e7? |
|
|
2008 R2 - как могли создать нового админа от имени SubjectLogonId 0x3e7?
|
|
Новый участник Сообщения: 2 |
Враг на сервере создал учетку, дал ей права админа, пользователя удаленного рабочего стола и зашел на сервер из инета по RDP. порт RDP изменен, снаружи тоже другой порт, пароли сложные. Переборов замечено не было. В журнале первое упоминание этой учетки имеет SubjectLogonId 0x3e7. Когда я создаю учетку то в SubjectLogonId видно автора, создающего пользователя, а в данном случае получается пользователя создала системная служба. Для локальной сети на сервере есть общие папки, пользователи тоже авторизуются.
Очень очень хочется узнать какими средствами нужно создавать пользователя, чтобы SubjectLogonId получился 0x3e7 ? И именем создающей учетной записи было бы название самого сервера с $ на конце типа "SERVER02$" да, дополнительные проверки на вирусы ничего не выявили. на сервере стоит Eset, он сработал только когда враг попытался запустить варианты mimikatz. утилиты от dr.web и касперского нашли только майнинги, которые и установил враг, но я их и так увидел так как они сильно грузили процы |
|
|
Отправлено: 17:45, 19-07-2017 |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать похоже, что воспользовались какой-то уязвимостью службы.
скорее всего вы не устанавливаете обновления. |
|
------- Отправлено: 20:41, 19-07-2017 | #2 |
|
Новый участник Сообщения: 2
|
Профиль | Отправить PM | Цитировать Обновления всегда устанавливаю сразу. Сразу после недавней эпидемии дополнительно закрыл порты 135, 137, 138, 139, 1024-1035 даже в локальной сети, плюс отключил SMBv1
|
|
Отправлено: 11:32, 20-07-2017 | #3 |
|
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать тогда я внимательней бы поизучала логи - возможно сбрутили RDP и уже внутри сессии что-то делали.
|
|
------- Отправлено: 11:37, 20-07-2017 | #4 |
.gif)
Старожил Сообщения: 385
|
Профиль | Сайт | Отправить PM | Цитировать Во время игры в онлайне оборвалась связь с сервером, я решил посмотреть, что в это время происходило на компе и в Просмотре событий обнаружил следующее: То есть кто то взломал мой компьютер?
Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: СИСТЕМА Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3E7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege |
|
|
Отправлено: 15:27, 22-06-2022 | #5 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Разное - Как поставить на автозапуск программу, запускающуюся только от имени админа? | El Caballero | Microsoft Windows 10 | 5 | 23-05-2016 21:33 | |
| Интерфейс - запуск cmd от имени админа.... | --defender-- | Microsoft Windows 7 | 0 | 21-11-2013 14:21 | |
| Установка - Установка от имени админа | AktMaksatT | Microsoft Windows 2000/XP | 1 | 22-06-2013 22:42 | |
| Разное - Автозапуск программы от имени админа | zsa | Microsoft Windows 2000/XP | 2 | 13-12-2008 15:57 | |
| Запуск прграмм от имени админа | Dark_Ximik | Microsoft Windows 2000/XP | 4 | 03-12-2005 15:41 | |
|
|
Время: 09:12. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
