Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - [решено] Неизвестный источник попыток входа на сервер

Ответить
Настройки темы
2012 R2 - [решено] Неизвестный источник попыток входа на сервер

Пользователь


Сообщения: 105
Благодарности: 3

Профиль | Отправить PM | Цитировать


Доброго всем времени суток.

Есть Windows 2012 R2 Standard север (без домена).
На нем с периодичностью раз в 3-5 секунд валятся в лог безопасности события:

Содержимое лога

Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: USER9
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xC000006D
Подсостояние: 0xC0000064

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: -
Порт источника: -

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0


Больше всего смущает, что тип входа сетевой, а сведения о сети отсутствуют.
Сервер не я настраивал, меня попросили его "посмотреть". Саму сеть я не вижу, только удаленный доступ.

Из того, что уже определил:
- встроенная учетка администратора переименована, пароль криптостойкий.
- обновления включены и установлены до актуального состояния.
- firewall включен и настроен на стандартные сетевые службы:
- сетевое обнаружение
- файловый сервер
- сервер удаленного рабочего стола.

Помогите пожалуйста разобраться, в причинах подобного явления, чтобы устранить их.
Спасибо.

Отправлено: 16:47, 01-12-2018

 

Аватара для Anton04

Ветеран


Сообщения: 1272
Благодарности: 206

Профиль | Отправить PM | Цитировать


Цитата Candyman:
На нем с периодичностью раз в 3-5 секунд валятся в лог безопасности события: »
Стандартная попытка перебора пароля. Ничего странного.
Судя по тому что у Вас не указан IP источника можно сделать вывод, что сервер у Вас стоит за роутером.

Рекомендации: минимум сменить стандартный RDP порт на роутере на не стандартный, т.е. настроить типа WAN порт 60123 пробросить на IP сервера порт 3389.
Рекомендации максимум, использовать VPN или посредник подключения к RDP.

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.


Отправлено: 21:23, 01-12-2018 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 105
Благодарности: 3

Профиль | Отправить PM | Цитировать


Цитата Anton04:
Рекомендации: минимум сменить стандартный RDP порт на роутере на не стандартный, т.е. настроить типа WAN порт 60123 пробросить на IP сервера порт 3389.
Рекомендации максимум, использовать VPN или посредник подключения к RDP. »
Да, сервер стоит за роутером на котором настроен проброс портов с нестандартного (xx89) на серверный 3389.

Убрал правило проброса портов, настроил VPN - события продолжают появляться в логах, только частота их заметно снизилась и появились еще одни:

Журнал событий

Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Уровень олицетворения: Олицетворение

Новый вход:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x167156C
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: -

Сведения о сети:
Имя рабочей станции: WIN-CBDILLR25RB
Сетевой адрес источника: fe80::bca2:d1a7:4453:7d6f
Порт источника: 56903

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): NTLM V1
Длина ключа: 128

Отправлено: 21:40, 01-12-2018 | #3

mwz mwz вне форума

Аватара для mwz

Ветеран


Contributor


Сообщения: 8032
Благодарности: 1926

Профиль | Сайт | Отправить PM | Цитировать


Цитата Candyman:
Имя рабочей станции: WIN-CBDILLR25RB »
А такая рабочая станция в сети есть? Проверить бы её на троянов...

-------
Mikhail Zhilin


Отправлено: 00:45, 02-12-2018 | #4


Пользователь


Сообщения: 105
Благодарности: 3

Профиль | Отправить PM | Цитировать


Цитата mwz:
А такая рабочая станция в сети есть? Проверить бы её на троянов... »
Так WIN-CBDILLR25RB - это и есть сам сервер (обозвали его так, не виноват он).
Сканирование на вирусы положительного результата не выявило.

Отправлено: 17:43, 02-12-2018 | #5


Аватара для Anton04

Ветеран


Сообщения: 1272
Благодарности: 206

Профиль | Отправить PM | Цитировать


Цитата Candyman:
Так WIN-CBDILLR25RB - это и есть сам сервер (обозвали его так, не виноват он).
Сканирование на вирусы положительного результата не выявило. »
Значит какая-то "лигитимная" софтина пытается это сделать, смотрите что у Вас установлено, проверяйте автозагрузку приложений и драйверов, планировщик задач. В общем autoruns Вам из набора SysInternals в помощь. Так же, не лишним будет анализ через AVZ (именно анализ).

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.


Отправлено: 11:01, 03-12-2018 | #6

mwz mwz вне форума

Аватара для mwz

Ветеран


Contributor


Сообщения: 8032
Благодарности: 1926

Профиль | Сайт | Отправить PM | Цитировать


Candyman, попробуйте спросить в разделе http://forum.oszone.net/forum-87.html — выполнив требования http://forum.oszone.net/thread-98169.html

-------
Mikhail Zhilin


Отправлено: 14:24, 03-12-2018 | #7


Пользователь


Сообщения: 105
Благодарности: 3

Профиль | Отправить PM | Цитировать


Анализ на вирусы результатов так и не дал.
Решение не найдено.
Тему закрываю...

Отправлено: 09:19, 05-12-2018 | #8



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - [решено] Неизвестный источник попыток входа на сервер

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Прочее - [решено] неизвестный источник с ip Almest Сетевые технологии 3 06-02-2017 09:56
2008 R2 - Хитрое сохранение паролей входа на сервер терминалов TheMatrix Windows Server 2008/2008 R2 5 28-03-2012 17:26
Автоматическая блокировка IP на Windows 2003 ошибке входа на терминальный сервер Vglaz Microsoft Windows NT/2000/2003 1 18-12-2011 22:29
Как через сценарий входа подключять источник данных ODBC ? Большой Кол Microsoft Windows NT/2000/2003 2 16-02-2009 08:27
Сетевые политики входа на сервер teck Microsoft Windows NT/2000/2003 6 20-03-2004 21:45




 
Переход