Атака на сервер
Вложений: 1
Добрый день.
Начались жалобы что сервер стал тормозить. При анализе журнала, заметил, что очень много записей почти ежеминутно идет на аудит успеха или отказа. Есть предположение, что идет атака. Сервер крутит SQL 1С, стоит за роутером, где идет проброс диапазона портов для подключения к приложению А еще заметил, что если зайти по RPD, то в этом же журнале почему-то создаются несколько записей аудита успеха, хотя вход был только один. Количество пользователей 25 подскажите, куда капать? |
фильтровать по нужному коду, сменить порт, раздать сертификаты, использовать VPN, пройти повторный курс грамматики.
|
Для чего фильтровать по нужному коду?
|
Tosha_l, чтоб отсечь зёрна от плевел. Например, событие код 4648 чаще всего встречается в конфигурациях пакетного типа, таких как запланированные задачи или при использовании команды RUNAS. Код 4776 бывает еще разнообразнее - напр., запуск ват-ника от имени пользователя, чей пароль изменился и не был обновлён и пр.
Рекомендую ресурс Troubleshooting Microsoft Windows Event Logs, особенно полезны могут быть комментарии других камрадов в конце описания события. |
Время: 08:39. |
Время: 08:39.
© OSzone.net 2001-