Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)
-   -   Атака на сервер (http://forum.oszone.net/showthread.php?t=333815)

Tosha_l 18-03-2018 10:18 2804037
Атака на сервер
 
Вложений: 1
Добрый день.
Начались жалобы что сервер стал тормозить.
При анализе журнала, заметил, что очень много записей почти ежеминутно идет на аудит успеха или отказа.
Есть предположение, что идет атака.

Сервер крутит SQL 1С, стоит за роутером, где идет проброс диапазона портов для подключения к приложению
А еще заметил, что если зайти по RPD, то в этом же журнале почему-то создаются несколько записей аудита успеха, хотя вход был только один.
Количество пользователей 25

подскажите, куда капать?

ShaddyR 18-03-2018 13:35 2804054
фильтровать по нужному коду, сменить порт, раздать сертификаты, использовать VPN, пройти повторный курс грамматики.

Tosha_l 18-03-2018 13:47 2804056
Для чего фильтровать по нужному коду?

ShaddyR 19-03-2018 00:35 2804138
Tosha_l, чтоб отсечь зёрна от плевел. Например, событие код 4648 чаще всего встречается в конфигурациях пакетного типа, таких как запланированные задачи или при использовании команды RUNAS. Код 4776 бывает еще разнообразнее - напр., запуск ват-ника от имени пользователя, чей пароль изменился и не был обновлён и пр.
Рекомендую ресурс Troubleshooting Microsoft Windows Event Logs, особенно полезны могут быть комментарии других камрадов в конце описания события.


Время: 08:39.

Время: 08:39.
© OSzone.net 2001-