кто то бьется на комп, помогите устранить
Здравствуйте.
Есть машина на win 2003. Есть подозрение что к машине подбирают пароль из вне. Думал есть какая то зараза, но в разделе лечения посоветовали обратиться сюда. Вот ссылка на ту тему http://forum.oszone.net/thread-338020.html Спасибо |
Цитата:
И коли извне — то в "Лечение от вредоносных программ" смысла обращаться не было вообще. PS polonin Кстати, у меня на WS2003 (полагаю что у вас тоже не win 2003, а Windows Server 2003) из логов подключений (в папке C:\WINDOWS\system32\LogFiles\MSFTPSVC1) и сообщений Cистемы в "Просмотре событий" от источника MSFTPSVC типа Код:
The server was unable to logon the Windows NT account 'root' due to the following error: Logon failure: unknown user name or bad password. The data is the error code. Уже лет десять пытаются. И что? Ну нет у меня пользователей со стандартными именами типа root, admin и т.д., и нет паролей типа 1111111, qwerty, root, admin и т.д (да и вообще нет словарных). |
Цитата:
Цитата:
Сервер терминалов ли? Локальная сеть и ресурсы расшаренные имеются ли? Логи событий системы хоть один из указанных специалистов глядел, сюда их можно предоставить? |
Когда то, давным давно да, был сервер терминалов. Теперь используется просто как рабочая станция для бухгалтера. ОС: Windows Server 2003 R2 Enterprice Edition SP2. Комп в локальной сети. Есть несколько сетевых папочек. Журнал "Система" поврежден. В журнале "Безопасность" нашел вот такое событие
Тип события: Аудит успехов Источник события: Security Категория события: Вход/выход Код события: 540 Дата: 05.12.2018 Время: 14:20:11 Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД Компьютер: SERVER Описание: Успешный сетевой вход в систему: Пользователь: Домен: Код входа: (0x0,0x926D48) Тип входа: 3 Процесс входа: NtLmSsp Пакет проверки: NTLM Рабочая станция: USER-ПК Код GUID: - Имя вызывающего пользователя: - Домен вызывающего: - Код входа вызывающего: - Код процесса вызывающего: - Промежуточные службы:- Адрес сети источника: 192.168.0.210 Порт источника: 0 Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp". Я подключался через TeamViewer. Может быть, этот успешный анонимный вход и есть теамвивер. |
|
Цитата:
|
Журнал отчистил. Спасибо, за инфу про общие папки. Короче, поинтересовался снова в чём суть проблемы. Эта машина ломится на сервер терминалов (на win 2008).
Вот лог журнала "Безопасность" Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Учетная запись, которой не удалось выполнить вход: ИД безопасности: NULL SID Имя учетной записи: Администратор Домен учетной записи: SERVER Сведения об ошибке: Причина ошибки: Неизвестное имя пользователя или неверный пароль. Состояние: 0xc000006d Подсостояние: 0xc000006a Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x0 Имя процесса вызывающей стороны: - Сведения о сети: Имя рабочей станции: SERVER Сетевой адрес источника: 192.168.0.85 Порт источника: 2409 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался. Так вот на этом 85 айпишнике - win 2003. |
Цитата:
Поди, какой-нибудь антивирус с криво настроенными параметрами обновления ломится куда не попадя. |
polonin, если это - все - ты поднял бурю в стакане. Ломятся - это когда идёт перебор пароле, как было сказано выше,- сотни попыток входа с разными учетными данными. А это... это - ничего не было.
|
Дак хорошо если так, просто бухгалтерия переживает.
|
Проблему решил тем, что создал нового учётку админа с сложным паролем и разлогинился из проблемной. Велел пользователю пользоваться только новой учеткой. Теперь из win 2003 на win 2008 никто не долбится. Тему можно закрыть.
|
Цитата:
|
однозначно отключить старую УЗ - тогда и расшаренные ресурсы с ее правами станут недействительными.
|
Время: 06:05. |
Время: 06:05.
© OSzone.net 2001-