Вопрос - проникновение ли это?

Внимание, важное сообщение: Дорогие Друзья!
В ноябре далекого 2001 года мы решили создать сайт и форум, которые смогут помочь как начинающим, так и продвинутым пользователям разобраться в операционных системах. В 2004-2006г наш проект был одним из самых крупных ИТ ресурсов в рунете, на пике нас посещало более 300 000 человек в день! Наша документация по службам Windows и автоматической установке помогла огромному количеству пользователей и сисадминов. Мы с уверенностью можем сказать, что внесли большой вклад в развитие ИТ сообщества рунета.

Но... время меняются, приоритеты тоже. И, к сожалению, пришло время сказать До встречи! После долгих дискуссий было принято решение закрыть наш проект. 1 августа форум переводится в режим Только чтение, а в начале сентября мы переведем рубильник в положение Выключен

Огромное спасибо за эти 24 года, это было незабываемое приключение. Сказать спасибо и поделиться своей историей можно в данной теме.

С уважением, ваш призрачный админ, BigMac...

Вопрос - проникновение ли это?

дмитрий0101

Пользователь

Сообщения: 55
Благодарности: 0

Профиль | Отправить PM | Цитировать

Доброго времени суток всем, есть win 2003, две сетевых, user gate на раздаче интернета, hamachi для удаленного админства. Проблема с сегодняшнего утра нашел в событиях безопасности такие записи:
Операция с объектом:
Сервер объекта: LSA
Тип операции: Query
Тип объекта: SecretObject
Имя объекта: Policy\Secrets\L$HYDRAENCPUBLICKEY_dd2d98db-2316-11d2-b414-00c04fa30cc4
Код дескриптора: 1156448
Основной пользователь: SERVER$
Основной домен: WORKGROUP
Основной код входа: (0x0,0x3E7)
Пользователь-клиент: Администратор
Домен клиента: SERVER
Код входа клиента: (0x0,0xB0279B)
Доступ: Неизвестный специальный доступ (бит 1)

Свойства:
-
Дополнительные данные: -
Дополнительные данные 2: 0x2
Маска доступа: %16

а ранее была такая запись:
Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: ADMIN
Исходная рабочая станция: \\216.85.242.203
Код ошибки: 0xC0000064
хотя ни какой учетки ни Admin ни Administrator нет

ну и периодически были записи во вкладке системы от источника Lsasrv:
Анонимный сеанс, подключенный с 208.52.174.26, попытался открыть дескриптор политики LSA на этом компьютере. Эта попытка была отклонена с кодом STATUS_ACCESS_DENIED для предотвращения передачи анонимному клиенту секретных сведений.

причем адреса с которого подключаются анонимные сеансы всегда разные, я уже в панике, что это вирус или кто-то пытается пробиться на мой сервер?

Отправлено: 13:15, 07-10-2008

ab57

Старожил

Сообщения: 223
Благодарности: 53

Профиль | Отправить PM | Цитировать

Цитата дмитрий0101:

что это вирус или кто-то пытается пробиться на мой сервер? »

Может быть и то и другое. Похоже на сканирование вашего сервера. Сканеры безопасности используют различные сценарии проверки дыр в вашей системе, в том числе и некоторые стандартные имена пользователей типа admin, administrator. А поскольку вы видите подобные сообщения, значит некоторые из системных сервисов торчат наружу, привязаны к внешней сетевой карте. Скорее всего, это вам не нужно. В свойствах внешней сетевой карточки, оставьть галочку только для протокола TCP/IP. Попробуйте сами извне просканировать ваш сервер каким-нибудь сканером, например XSpider или Shadow Security Scaner, а лучше - линуксовым nmap. и по результатам настройте ваш файерволл так, чтобы из интернета к нему было не подступиться (закройте все или по максимуму порты, доступные извне).

-------
Переустановка Windows - как разморозка холодильника. Помогает, но ненадолго...

Отправлено: 15:11, 16-10-2008 | #2