Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   как могли создать нового админа от имени SubjectLogonId 0x3e7? (http://forum.oszone.net/showthread.php?t=328466)

denklu 19-07-2017 17:45 2752547
как могли создать нового админа от имени SubjectLogonId 0x3e7?
 
Враг на сервере создал учетку, дал ей права админа, пользователя удаленного рабочего стола и зашел на сервер из инета по RDP. порт RDP изменен, снаружи тоже другой порт, пароли сложные. Переборов замечено не было. В журнале первое упоминание этой учетки имеет SubjectLogonId 0x3e7. Когда я создаю учетку то в SubjectLogonId видно автора, создающего пользователя, а в данном случае получается пользователя создала системная служба. Для локальной сети на сервере есть общие папки, пользователи тоже авторизуются.
Очень очень хочется узнать какими средствами нужно создавать пользователя, чтобы SubjectLogonId получился 0x3e7 ? И именем создающей учетной записи было бы название самого сервера с $ на конце типа "SERVER02$"
да, дополнительные проверки на вирусы ничего не выявили. на сервере стоит Eset, он сработал только когда враг попытался запустить варианты mimikatz. утилиты от dr.web и касперского нашли только майнинги, которые и установил враг, но я их и так увидел так как они сильно грузили процы

cameron 19-07-2017 20:41 2752586
похоже, что воспользовались какой-то уязвимостью службы.
скорее всего вы не устанавливаете обновления.

denklu 20-07-2017 11:32 2752721
Обновления всегда устанавливаю сразу. Сразу после недавней эпидемии дополнительно закрыл порты 135, 137, 138, 139, 1024-1035 даже в локальной сети, плюс отключил SMBv1

cameron 20-07-2017 11:37 2752726
тогда я внимательней бы поизучала логи - возможно сбрутили RDP и уже внутри сессии что-то делали.

Степановгорбунов@vk 22-06-2022 15:27 2987104
Во время игры в онлайне оборвалась связь с сервером, я решил посмотреть, что в это время происходило на компе и в Просмотре событий обнаружил следующее: То есть кто то взломал мой компьютер?

Новому сеансу входа назначены специальные привилегии.

Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: СИСТЕМА
Домен учетной записи: NT AUTHORITY
Код входа: 0x3E7

Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege


Время: 02:04.

Время: 02:04.
© OSzone.net 2001-