Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[3.144.15.29] |
|
Сообщ.
#1
,
|
|
|
Доброго всем времени суток, Уважаемые спецы.
Приключилась следующая ситуация в нашей организации: Имеется: парк ПК 350 штук. Сервер AD на Windows server 2003 SP 2 Доступ в инет через Маршрутизатор. С недавнего времени начали происходить непонятные вещи, а именно начали массово блокироваться учетные записи пользователей в AD. На сервере, в журнале безопасности, стали появляться огромное количество записей "Аудит Отказа" такого содержания: Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Учетная запись входа: Ї®«м§®ў ⥫Ґ© Исходная рабочая станция: Код ошибки: 0xC0000064 Есть подозрение что в сети завёлся вирус который сканит сеть и пытается брутфорсить подключенные ПК. Подскажите пожалуйста знающие люди, каким образом можно вычисли откуда приходят запросы авторизации. PS. Со вчерашнего вечера, в журнал безопасности вообще перестали записываться ВСЕ действия и аудит отказов и аудит успехов. Заранее всем откликнувшимся - СПАСИБО! |
Сообщ.
#2
,
|
|
|
Загрузите LiveCD от Касперского, Данилова и пр. Загрузите с него любую проблемную рабочую станцию. Выполните глубокий скан. Если зловред будет обнаружен - ищите на соответствующих ресурсах, как от него избавляться.
|
Сообщ.
#3
,
|
|
|
Цитата Загрузите LiveCD от Касперского, Данилова и пр. Загрузите с него любую проблемную рабочую станцию. Выполните глубокий скан. Если зловред будет обнаружен - ищите на соответствующих ресурсах, как от него избавляться. Это то понятно. Вопрос в том, как определить какая (какие) рабочие станции являются проблемные. Возможно в Windows 2003 имеются какие нибудь логи с попытками авторизоваться где указаны IP адреса? |
Сообщ.
#4
,
|
|
|
Цитата Wikly @ Возможно в Windows 2003 имеются какие нибудь логи с попытками авторизоваться где указаны IP адреса? Имеются, но по умолчанию отключены. Вряд ли Вы настраивали их... Цитата Wikly @ Вопрос в том, как определить какая (какие) рабочие станции являются проблемные. Станция считается проблемной, пока не доказано обратное. Так что все. |
Сообщ.
#5
,
|
|
|
Цитата Имеются, но по умолчанию отключены. Вряд ли Вы настраивали их... Не подскажите как настроить, или ссылочку, буду очень признателен. Цитата Станция считается проблемной, пока не доказано обратное. Так что все. ЖЕСТЬ!!! :-( |
Сообщ.
#6
,
|
|
|
Цитата Wikly @ Вопрос в том, как определить какая (какие) рабочие станции являются проблемные. Посмотри в логе брендмауера сервера. При отказе там должна быть соответствующая запись и ip подключения и порт. По количеству таких подключений и их ip можно сделать общую картину. Также отключите часть сервисов и смотрите за реакцией. В частности отклбчите инет, затем rdp, smb и т.п. смотрите ща реакцией |
Сообщ.
#7
,
|
|
|
Всем откликнувшимся спасибо.
Проблема решена. Вирус найден. Рабочих станций оказалось довольно много. Вирус, на зараженных РС, сидит по пути: C:\windows\temp\svchost.exe Постоянно сканит сеть и брутит все найденные РС. использует уязвимость MS17-010 (445 порт). Закрыть можно соответствующим обновлением безопасности. |