|
Windows 2003 Server блокирует учетки
собственно сабж в журнале событитий ошибок не зарегестрировано :( куда копать файервол молчит
есть мысли ? заранее благодарен ! |
Все? или только администратора?
|
Троих админов домена и прмерно 2-10 юзверей у остальных все норм
до этого были ошибки в журнали с файлом sam это который пассворд хранит ошибки повторялись примерно 4 раза в секунду напарник почистил журнал и не сохранил конкретниее сказть не могу ща эти ошибки не повторяются а записи все ровно блокируются ! накидайте вариантов пжалуйста |
вариантов пока немного, менялись ли пароли, были ли какие-то серьезные сбои?
Учетки блокируются вероятно потому, что какие-то программы/службы пытаются получить доступ с недействующим паролем. Хотя бы приблизительно ошибки sam можете описать? |
пароли не менялись с боев до вчерашнего дня небыло вчера начались ошибки sam и усе приехали ....
|
Вирь, скорее всего SECTOR5, очень гадкий самомодифицирующийся зверь. С зараженных машин идет подбор паролей брутфорсом. Составьте на основе анализа Security logs список машин с которых происходит работают проблемные пользователи, и при помощи Live CD с интегрированным DrWEB например, проверьте машины.
|
да возможно вирусы на машинах каспер видить но удалить не может :(
все ясно буду пробывать спасибо как разберусь отпишу |
Аналогичная проблема появилась и в нашей сетке, точно 11 января в 10:20 утра, когда отдохнувшие за 12 дней пользователи кинулись в Инет и начали совать в компы флешки с фотографиями.
В журналах сервера пишеться SAM 12294 - это перебор пароля чем пользуются для брутфорс атак. В нашем случае оказался вирус W32.Downaup.B (так его Symantec) определяет. Сел и на сервера и на рабочие станции, вирус свежий, появился примерно 5 января, последняя модификация 11 января. 3-й день идет борьба, т.к. сетка не маленькая. Подробности о вирусе можно посмотреть здесь https://forums.symantec.com/t5/blogs...article-id/225 Седующая ветка в форуме - тоже по этому поводу Методы: 1. Установка патча от Микрософт из KB958644 на сервера и рабочие станции 2. Лечение обновленным антивирусом всей сети (пока только Symantec и BitDefender , остальные его не видят) 3. Запрет автозапуска со съемных накопителей и расшаренных сетевых дисков (вирус использует файл autorun.inf в корне этих дисов). Сейчас стало немного легче, но до конца проблему еще не решили .... |
Event Type: Error
Event Source: SAM Event Category: None Event ID: 12294 Date: 14.01.2009 Time: 14:46:13 User: COLLEGE\Administrator Computer: NS Description: The SAM database was unable to lockout the account of Administrator due to a resource error, such as a hard disk write failure (the specific error code is in the error data) . Accounts are locked after a certain number of bad passwords are provided so please consider resetting the password of the account mentioned above. For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. Data: 0000: a5 02 00 c0 ?..A |
А вот ета ошибка
|
Вы пройдите по ссылкам указанным в предыдущем посте, на Security Focus рекомендуют установить заплатку KB958644
|
Установка пакета не помогла.... :(
|
Привет всем, в общем такая проблема рабочая сетка на около 100 компов, на половине стоит ХР на половине 2000 и сервер 2000 и два 2003 короче прихожу после праздников на работу смотрею антивирь не обновлялся 10 дней, сам не понел почему такой глюк случился но в общем перезапустил сервак обновился и понеслось на всех компах прилитело пару вирусов с одним поборолся антивирь, а вот с этим W32.Downadup.B (Symantec) только справился на ХР ( И то в ручную антивирь его находит в двух местах в одном удоляет во втором сам ручка и заплатка 958644 но она только реально работает на Хр) а вот на W2K не может, получаеться выскакивает первое сообшение автоматической
Осмотр: Автоматическая защита Событие: Обнаружена угроза! Угроза: W32.Downadup.B Файл: D:\WINNT\system32\jpmrdxah.w Путь: D:\WINNT\system32 Действие: Исправить не удалось : Изолировать не удалось : Доступ закрыт Дата обнаружения: 13 января 2009 г. 12:46:14 и потом второе через несколько минут Осмотр: Автоматическая защита Событие: Обнаружена угроза! Угроза: W32.Downadup.B Файл: D:\WINNT\system32\jpmrdxah.w Путь: D:\WINNT\system32 Действие: Исправить не удалось : Изолировать не удалось : Удалит удалось ; Доступ закрыт Дата обнаружения: 13 января 2009 г. 12:47:20 И это повторяеться переодически на самом компе больше нет вируса , он думаю через сетку прилетает сканировал компы разными антивирами, результат нулевой и такая проблема только с W2K скачал заплатки для этого дела они не помогаю все что нашел в инете перепробовал но ничего не помогло, может кто сталкивался с таким поделитесь, я весь роздел смотреть не стал но в поиске раздела посмотрел об таком вирусе не кто не создовал такую тему. Весь день провоевал пол сетки работает вроде нормально а на 2000 так и выскакивает сообщения, но что для меня пока не понятно не на всех а так на одних и техже, за ночь посмотрю что будет утром отпишусь |
я думаю что это оно http://www.viruslist.com/ru/viruses/...rusid=21782725
а вши предположения ? |
вот еще http://okrylov.wordpress.com/2009/01...руют/#more-101 надеюсь скоро решим :)
|
Цитата:
|
да уже качнул завтра буду сканить и бахать бахать и сканить :)
|
Ну вот и еще один день прошел в борьбе ....
Стало еще немного легче, патч от MS и Symantec антивир ситуацию исправляют, во всяком случае не допускают повторного заражения рабочих станций и серверов. Что касается вышедшей вчера утилиты от Symantec, то для сети она помогает слабо, т.к. только чистит комп никак его не защищая от повторного заражения, а оно происходит практически сразу. Вот бы какие-нибудь рекомендации о том как определить с каких станций сети идет атака услышать.... |
Анализ Security Log на контроллере. Именно с них идет аудит отказов
|
Доброе утро.
Пришел на работу и вот что увидел, один сервак 2003 чист второй Осмотр: Автоматическая защита Событие: Обнаружена угроза! Угроза: W32.Downadup.B Файл: C:\WINDOWS\System32\cluuhfl.sg Путь: C:\WINDOWS\System32 Компьютер: SQLSERVER Пользователь: Yakupov Действие: Исправить не удалось : Изолировать не удалось : Удалить удалось : Доступ закрыт Дата обнаружения: 14 января 2009 г. 17:05:43 заплатка стоит все вроде нормально, до этого сутки не было сообщений, и еще я вчера заметил на 2000 серваке постоянно выскакивало сообщение имя компа нормальное а вот пользователя нет я удалил из списка пользователя вроде прошло 12 часов не обного сообщения нет, получаеться этот вирус взял на себя права пользователя и от его имени разсылаеться, хотя в сетки такой комп есть он чистый, просто посмотрел на счет заплатки если не ошибаюсь то для ХР она вроде от 31 декабря 2008 вир появился примерно в это же время а вот для 2000 от 22 октября скорее всего из-за старости заплатки она не помогает 2000, буду воевать дальше, но сеть реально лучше работать стала, будет что новое напишу |
Cудя по сообщению антивира о сработке автоматической защиты, вирус пытался атаковать твой сервер, но неудачно :-)
И физически он может быть расположен на одной из рабочих станций сети, там где нет Symantec или устаревшие антивирусные базы. Надо искать и убивать ... Да, еще - по поводу патча от Микрософт - особо не напрягайся, т.к. он вышел еще 23 октября 2008 года для всех операционок сразу и закрывал уязвимость используемую другими вирусами. W32.Downadup.B использует ее же, но более изощренно. |
Привет все, нашел вроде решение проблемы, установил програмку NetView зашел в монитор подключений, включил его и в опциях монитора убрал галочку Забывать пустые сесии, и все теперь вижу с какого компа идет атака он пытаеться попасть ко мне на комп с одного имени компа но разных учеток прям подряд стоят сообщения, захожу на первый комп с которого атака антивиря нет на нем, хотя я точно помню что ставил, захожу на второй там не обновляеться база с сервера сумантека, раньше на это не обращал внимание, но после того как на сервере сумантека не было автоматического обновления стал задумываться и что же может вырубать обновление на сервере и клиенте сумантека.
Поговорил с парнем он мне сказал когда я был в отпуске на десятке машин был удален антивирусник в автомате он пробовал новую 10 версию сумантека, у нас много предприятий и всем давали на пробу 10 версию для теста. Вот тебе и тест что он там наделал. но в общем если все таки появиться заплатка от известной фирмы, ставить или не ставить это уже новый вопрос так как на любой замок есть отмычка. Да, еще - по поводу патча от Микрософт - особо не напрягайся, т.к. он вышел еще 23 октября 2008 года для всех операционок сразу и закрывал уязвимость используемую другими вирусами. W32.Downadup.B использует ее же, но более изощренно. Да я так сразу и понел. |
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Уже есть решение от Microsoft: новая версия MSRT (Malicious Software Removal Tool) и обновления определений для Windows Defender. Лечат гарантировано и быстро. Но заплатку все равно поставьте, иначе через 5 минут будет на том же месте. |
Ну вот и PandaLabs научилась бороться с W32.Downadup.B (Conficker) - http://www.antiviruspro.ru/news/archive/10373.php
Хуже всего в этом сообщении предположение о том, что это только отработка вируса для более масштабных атак. Цитирую: "Однако некоторые варианты кода предназначены для загрузки на зараженный компьютер других вредоносных кодов. Это свидетельствует о том, что создатели червей в ближайшем будущем готовятся к запуску широкомасштабной атаки с использованием зараженных машин." |
Цитата:
|
| Время: 01:30. |
Время: 01:30.
© OSzone.net 2001-