Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Аудит проверки подлинности доступа (http://forum.oszone.net/showthread.php?t=304738)

D.NeeZ_K 31-08-2015 18:12 2547954

Аудит проверки подлинности доступа
 
Друзья подскажите как избавиться от я так понимаю брутфорсинга, вот что выдает журнал аудита:
Аудит отказа
Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: administrator
Домен учетной записи: *****

Сведения об ошибке:
Причина ошибки: Ошибка при входе.
Состояние: 0xc000006d
Подсостояние: 0xc000006d

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: 192.168.10.25
Порт источника: 51583

Сведения о проверке подлинности:
Процесс входа: WDIGEST
Пакет проверки подлинности: WDigest
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

И такого ОООчень много.

D.NeeZ_K 17-09-2015 10:53 2554205

microsoft network monitor сканирует активность на интерфейсах, воспользовался программой и нашел одного нигодяя который пытается найти слабое место сервера чтоб выйти погулять Лог:
Скрытый текст
Ipv4: Src = 192.168.10.31, Dest = 192.168.10.25, Next Protocol = TCP, Packet ID = 4122, Total IP Length = 132
Tcp: Flags=...AP..., SrcPort=61792, DstPort=Microsoft-DS(445), PayloadLen=92, Seq=1352547916 - 1352548008, Ack=3628037477, Win=16425

Собственно если кто подскажет как решить проблему с ломящимся компом на сервер буду благодарен.

User001 17-09-2015 11:06 2554217

Цитата:

Цитата D.NeeZ_K
microsoft network monitor »

У вас и так написан адрес станции в
Цитата:

Цитата D.NeeZ_K
Сетевой адрес источника: 192.168.10.25 »


Цитата:

Цитата D.NeeZ_K
как решить проблему с ломящимся компом на сервер »

Настройте межсетевой экран на сервере.

Дойдите до этого "компа" и выясните почему он так делает.

El Scorpio 18-09-2015 03:57 2554598

Цитата:

Цитата D.NeeZ_K
Src = 192.168.10.31, Dest = 192.168.10.25 »

Компьютеры в одной локальной сети.

Узнайте, чей это компьютер, затем проведите проверку компьютера антивирусом и проверку пользователя директором :)

D.NeeZ_K 18-09-2015 07:55 2554620

Цитата:

Цитата El Scorpio
Компьютеры в одной локальной сети.
Узнайте, чей это компьютер, затем проведите проверку компьютера антивирусом и проверку пользователя директором »

При помощи этой же самой программы пытался понять что так без осознанно действует на сервер, то одна программа то другая, удалил, потом когда она начал выдавать службы тут пришлось остановиться, выключил этот ПК и пакеты пошли с другого ПК. Что за ерунда происходит вообще в голове не укладывается.

El Scorpio 18-09-2015 08:03 2554626

Цитата:

Цитата D.NeeZ_K
При помощи этой же самой программы пытался понять что так без осознанно действует на сервер, то одна программа то другая, удалил, потом когда она начал выдавать службы тут пришлось остановиться, выключил этот ПК и пакеты пошли с другого ПК. Что за ерунда происходит вообще в голове не укладывается. »

Поздравляю. У вас в сети завёлся бот-нет.

Делайте полную проверку всех компьютеров. Желательно с загрузкой LiveCD и физическим отключением линии.


Время: 15:19.

Время: 15:19.
© OSzone.net 2001-