На главную
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
! Правила!
Пожалуйста, подумайте два! раза перед тем как нажать кнопку Отправить.
Убедительная просьба пользоваться поиском и ИНСТРУКЦИЕЙ, и только потом спрашивать!


  • Публикация вирусов/эксплоитов в бинарном виде запрещена!
  • Запрещается размещать прямые ссылки на зараженные сайты! (если хочется предупредить, то исправляйте HTTP://... на ХТТП://...)
  • Категорически запрещается поиск кряков/варезов/серийников, а также размещение ссылок на серийники/ключи/кряки и т.п.
  • Запрещается использование оскорбительных выражений в адрес участников коференции, в том числе и в личной переписке.


Модераторы: Rust
  
> Windows 2003 Server Active directory, Постоянная блокировка пользователей + Аудит отказа в Журнале.
    Доброго всем времени суток, Уважаемые спецы.

    Приключилась следующая ситуация в нашей организации:

    Имеется:
    парк ПК 350 штук.
    Сервер AD на Windows server 2003 SP 2
    Доступ в инет через Маршрутизатор.

    С недавнего времени начали происходить непонятные вещи, а именно начали массово блокироваться учетные записи пользователей в AD.

    На сервере, в журнале безопасности, стали появляться огромное количество записей "Аудит Отказа" такого содержания:

    Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Учетная запись входа: Ї®«м§®ў вҐ«Ґ©
    Исходная рабочая станция:
    Код ошибки: 0xC0000064

    Есть подозрение что в сети завёлся вирус который сканит сеть и пытается брутфорсить подключенные ПК.

    Подскажите пожалуйста знающие люди, каким образом можно вычисли откуда приходят запросы авторизации.

    PS. Со вчерашнего вечера, в журнал безопасности вообще перестали записываться ВСЕ действия и аудит отказов и аудит успехов.

    Заранее всем откликнувшимся - СПАСИБО!
    Сообщение отредактировано: Wikly -
      Загрузите LiveCD от Касперского, Данилова и пр. Загрузите с него любую проблемную рабочую станцию. Выполните глубокий скан. Если зловред будет обнаружен - ищите на соответствующих ресурсах, как от него избавляться.
      Есть претензии ко мне как к модератору? читайте Правила, разделы 5 и 6, и действуйте соответственно.
      Есть претензии ко мне как к участнику? да ради бога.
      Не нравятся мои ответы? не читайте их.
      В общем, берегите себя. Нервные клетки не восстанавливаются.
        Цитата
        Загрузите LiveCD от Касперского, Данилова и пр. Загрузите с него любую проблемную рабочую станцию. Выполните глубокий скан. Если зловред будет обнаружен - ищите на соответствующих ресурсах, как от него избавляться.


        Это то понятно.

        Вопрос в том, как определить какая (какие) рабочие станции являются проблемные.

        Возможно в Windows 2003 имеются какие нибудь логи с попытками авторизоваться где указаны IP адреса?
          Цитата Wikly @
          Возможно в Windows 2003 имеются какие нибудь логи с попытками авторизоваться где указаны IP адреса?

          Имеются, но по умолчанию отключены. Вряд ли Вы настраивали их...

          Цитата Wikly @
          Вопрос в том, как определить какая (какие) рабочие станции являются проблемные.

          Станция считается проблемной, пока не доказано обратное. Так что все.
          Есть претензии ко мне как к модератору? читайте Правила, разделы 5 и 6, и действуйте соответственно.
          Есть претензии ко мне как к участнику? да ради бога.
          Не нравятся мои ответы? не читайте их.
          В общем, берегите себя. Нервные клетки не восстанавливаются.
            Цитата
            Имеются, но по умолчанию отключены. Вряд ли Вы настраивали их...


            Не подскажите как настроить, или ссылочку, буду очень признателен.

            Цитата
            Станция считается проблемной, пока не доказано обратное. Так что все.


            ЖЕСТЬ!!! :-(
              Цитата Wikly @
              Вопрос в том, как определить какая (какие) рабочие станции являются проблемные.

              Посмотри в логе брендмауера сервера. При отказе там должна быть соответствующая запись и ip подключения и порт. По количеству таких подключений и их ip можно сделать общую картину.

              Также отключите часть сервисов и смотрите за реакцией. В частности отклбчите инет, затем rdp, smb и т.п. смотрите ща реакцией
              "Воля - это то, что заставляет тебя побеждать, когда твой рассудок говорит тебе, что ты повержен" Карлос Кастанеда
                Всем откликнувшимся спасибо.
                Проблема решена. Вирус найден. Рабочих станций оказалось довольно много.
                Вирус, на зараженных РС, сидит по пути: C:\windows\temp\svchost.exe
                Постоянно сканит сеть и брутит все найденные РС.
                использует уязвимость MS17-010 (445 порт). Закрыть можно соответствующим обновлением безопасности.
                1 пользователей читают эту тему (1 гостей и 0 скрытых пользователей)
                0 пользователей:


                Рейтинг@Mail.ru
                [ Script Execution time: 0,0765 ]   [ 14 queries used ]   [ Generated: 20.10.20, 17:02 GMT ]