Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] кто то бьется на комп, помогите устранить

Ответить
Настройки темы
[решено] кто то бьется на комп, помогите устранить

Аватара для polonin

Старожил


Сообщения: 178
Благодарности: 2

Профиль | Отправить PM | Цитировать


Здравствуйте.

Есть машина на win 2003. Есть подозрение что к машине подбирают пароль из вне. Думал есть какая то зараза, но в разделе лечения посоветовали обратиться сюда. Вот ссылка на ту тему http://forum.oszone.net/thread-338020.html

Спасибо

Отправлено: 13:48, 04-12-2018

 
mwz mwz вне форума

Аватара для mwz

Ушел из жизни


Сообщения: 8595
Благодарности: 2127

Профиль | Сайт | Отправить PM | Цитировать


Цитата polonin:
Есть подозрение что к машине подбирают пароль из[]вне. »
Какое основание для таких подозрений?

И коли извне — то в "Лечение от вредоносных программ" смысла обращаться не было вообще.

PS
polonin

Кстати, у меня на WS2003 (полагаю что у вас тоже не win 2003, а Windows Server 2003) из логов подключений (в папке C:\WINDOWS\system32\LogFiles\MSFTPSVC1) и сообщений Cистемы в "Просмотре событий" от источника MSFTPSVC типа
Код: Выделить весь код
The server was unable to logon the Windows NT account 'root' due to the following error: Logon failure: unknown user name or bad password.  The data is the error code.
следует, что ко мне регулярно, практически каждый лень, пытаются продолбиться.

Уже лет десять пытаются. И что? Ну нет у меня пользователей со стандартными именами типа root, admin и т.д., и нет паролей типа 1111111, qwerty, root, admin и т.д (да и вообще нет словарных).

-------
Mikhail Zhilin


Последний раз редактировалось mwz, 04-12-2018 в 14:25.


Отправлено: 14:00, 04-12-2018 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для ShaddyR

Железных Дел Мастер


Moderator


Сообщения: 24508
Благодарности: 4494

Профиль | Сайт | Отправить PM | Цитировать


Цитата polonin:
Здравствуйте, мой коллега, системный администратор утверждает что на машину попал вредонос подбирающий пароль. Но вылечить машину самостоятельно не может. <CUT> видимо человеку, который работает за ним, для чего то надо чтобы дата была 30 ноября 2018 года. »
Цитата polonin:
коллега, который обследовал машину до лечения.
Цитирую - Диагностика событий аудита безопасности. Анализ поведения клиента - на сервер поступают пакеты с запросами ntlm авторизации. Выполнил мониторинг соединений, нет информации по взаимосвязи с приложением отсылающим пакеты. Произвел антивирусную проверку. Диагностические утилиты procexp и procmon выдают ошибку и не запускаются. Есть признаки заражения или повреждения ОС - на клиенте установлено устаревшее по windows 2003. »
один другого круче... то дата левая, то призрнаки обнаружены.
Сервер терминалов ли? Локальная сеть и ресурсы расшаренные имеются ли? Логи событий системы хоть один из указанных специалистов глядел, сюда их можно предоставить?

-------
[FAQ] Как определить аппаратную конфигурацию компьютера и правильно задать вопрос
-------
В благодарность за помощь нажимаем ссылочку "Полезное сообщение" внизу этого самого сообщения (подробнее). Помните: админ конфеты НЕ ПЬЁТ ;)
-------
Говори, что думаешь и думай, что говоришь! (c) || МОЙ ShaddyR.at.UA/blog - Как поменять термопасту за 100+ баксов


Отправлено: 15:24, 04-12-2018 | #3


Аватара для polonin

Старожил


Сообщения: 178
Благодарности: 2

Профиль | Отправить PM | Цитировать


Когда то, давным давно да, был сервер терминалов. Теперь используется просто как рабочая станция для бухгалтера. ОС: Windows Server 2003 R2 Enterprice Edition SP2. Комп в локальной сети. Есть несколько сетевых папочек. Журнал "Система" поврежден. В журнале "Безопасность" нашел вот такое событие
Тип события: Аудит успехов
Источник события: Security
Категория события: Вход/выход
Код события: 540
Дата: 05.12.2018
Время: 14:20:11
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: SERVER
Описание:
Успешный сетевой вход в систему:
Пользователь:
Домен:
Код входа: (0x0,0x926D48)
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: USER-ПК
Код GUID: -
Имя вызывающего пользователя: -
Домен вызывающего: -
Код входа вызывающего: -
Код процесса вызывающего: -
Промежуточные службы:-
Адрес сети источника: 192.168.0.210
Порт источника: 0


Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Я подключался через TeamViewer. Может быть, этот успешный анонимный вход и есть теамвивер.

Отправлено: 12:47, 05-12-2018 | #4

mwz mwz вне форума

Аватара для mwz

Ушел из жизни


Сообщения: 8595
Благодарности: 2127

Профиль | Сайт | Отправить PM | Цитировать


Цитата polonin:
Адрес сети источника: 192.168.0.210 »
Ну и кто у вас за компьютером с этим IP сидит?

Цитата polonin:
Журнал "Система" поврежден »
Очистить его не получается?

-------
Mikhail Zhilin


Отправлено: 13:47, 05-12-2018 | #5


Аватара для Angry Demon

Крылатый ужас


Moderator


Сообщения: 26360
Благодарности: 4434

Профиль | Отправить PM | Цитировать


Цитата polonin:
Успешный сетевой вход в систему:
Пользователь:
Домен:
Код входа: (0x0,0x926D48)
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: USER-ПК]
И что? Кто-то успешно в ваши "общие папочки" полез ковыряться.

-------
- Пал Андреич, Вы шпион?
- Видишь ли, Юра...


Здесь можно скачать драйверы

Сообщение оказалось полезным? Поблагодарите автора, нажав ссылку Полезное сообщение чуть ниже.

Это сообщение посчитали полезным следующие участники:

Отправлено: 20:04, 05-12-2018 | #6


Аватара для polonin

Старожил


Сообщения: 178
Благодарности: 2

Профиль | Отправить PM | Цитировать


Журнал отчистил. Спасибо, за инфу про общие папки. Короче, поинтересовался снова в чём суть проблемы. Эта машина ломится на сервер терминалов (на win 2008).
Вот лог журнала "Безопасность"
Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: Администратор
Домен учетной записи: SERVER

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc000006a

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции: SERVER
Сетевой адрес источника: 192.168.0.85
Порт источника: 2409

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

Так вот на этом 85 айпишнике - win 2003.

Отправлено: 10:39, 06-12-2018 | #7


Аватара для Angry Demon

Крылатый ужас


Moderator


Сообщения: 26360
Благодарности: 4434

Профиль | Отправить PM | Цитировать


Цитата polonin:
Эта машина ломится на сервер терминалов (на win 2008)
Ну ищет она расшаренные папки. Ну и что? Подозреваю, что не только на эту машину ломится, а всю сеть обнюхивает.
Поди, какой-нибудь антивирус с криво настроенными параметрами обновления ломится куда не попадя.

-------
- Пал Андреич, Вы шпион?
- Видишь ли, Юра...


Здесь можно скачать драйверы

Сообщение оказалось полезным? Поблагодарите автора, нажав ссылку Полезное сообщение чуть ниже.


Отправлено: 11:05, 06-12-2018 | #8


Аватара для ShaddyR

Железных Дел Мастер


Moderator


Сообщения: 24508
Благодарности: 4494

Профиль | Сайт | Отправить PM | Цитировать


polonin, если это - все - ты поднял бурю в стакане. Ломятся - это когда идёт перебор пароле, как было сказано выше,- сотни попыток входа с разными учетными данными. А это... это - ничего не было.

-------
[FAQ] Как определить аппаратную конфигурацию компьютера и правильно задать вопрос
-------
В благодарность за помощь нажимаем ссылочку "Полезное сообщение" внизу этого самого сообщения (подробнее). Помните: админ конфеты НЕ ПЬЁТ ;)
-------
Говори, что думаешь и думай, что говоришь! (c) || МОЙ ShaddyR.at.UA/blog - Как поменять термопасту за 100+ баксов


Отправлено: 14:02, 06-12-2018 | #9


Аватара для polonin

Старожил


Сообщения: 178
Благодарности: 2

Профиль | Отправить PM | Цитировать


Дак хорошо если так, просто бухгалтерия переживает.

Отправлено: 10:27, 10-12-2018 | #10



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] кто то бьется на комп, помогите устранить

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Server 2003 кто-то или что-то выключает сервер galaunix Microsoft Windows NT/2000/2003 11 10-05-2013 09:39
Router - Кто-то использует Asus RT-N66U ? Помогите с настройками! NуроFеn Сетевое оборудование 1 18-12-2012 18:30
Загрузка - Помогите пожалуйста кто-то может знает. Олег_Никель@vk Тест-форум 1 29-02-2012 18:08
Обновил комп, но что то не запускается!!!! ПОмогите!!! shel777 Непонятные проблемы с Железом 23 08-05-2008 22:10
кто-то подключился под моим IP-адресом и скачал пару гигабайт. Помогите разобраться neja Программное обеспечение Windows 5 02-08-2007 06:48




 
Переход