2008 R2 - Как хакеры-брутфорсеры узнают имя домена?

cameron · Конфигурация компьютера

по моим наблюдениям в логах брутов брутят .\%username%, а не доменную учётку.

Juiceee · Отправлено: **10:00, 04-05-2017** | #3

Ни одной локальной учётки не было. Только доменные.

cameron · Конфигурация компьютера

Цитата Juiceee:

Ни одной локальной учётки не было. Только доменные. »

а точно снаружи?

Juiceee · Отправлено: **10:11, 04-05-2017** | #5

Ага. Китай, Малайзия, Эквадор и проч :-)

Кстати, а как локальные учётки брутят? Вот я создал локального админа abyrvalg, это же надо как-то список пользователей/групп получить, что бы догадаться, что этот пользователь существует на этой тачке.

cameron · Конфигурация компьютера

Цитата Juiceee:

Вот я создал локального админа abyrvalg »

и никто его не сбрутит.

в общем ситуацию, как вы описали я ещё не встречала, хотя периодически разбираю логи брутов.
из вашего описания я бы сделала вывод, что список ваших доменных аккаунтов просто слит заранее. возможно, это связка троян+брутер.
ну это если предположить, что ваши доменные аккаутны не равны director, buhgalter и тд

Juiceee · Отправлено: **11:17, 04-05-2017** | #7

Ну вот, сейчас новость прилетела: сбрутили по RDP учётку energy (в этот раз локальную) с паролем XDr5tytu!.
Вот и не укладывается у меня в голове, как это происходит. Просто если предположить, что у меня есть список имён пользователей и список самых распространённых паролей. В первом списке 10 000 имён, во втором 10 млн. паролей. Вероятность подбора очень сильно от единички отличается. Время подбора - просто зашкаливает: оба списка пройти, сгенерировав 100-миллиардную комбинацию - это проблематично оставить незаметным, да ещё и в приемлемые сроки (!!!). Вот и начали просыпаться комплексы :-) ибо не могу даже предположить, как такое можно сделать.

yurfed · Отправлено: **13:48, 04-05-2017** | #8

Цитата Juiceee:

это проблематично оставить незаметным, да ещё и в приемлемые сроки (!!!). »

А цель ваших действий какова?
Если это ваши сетевые знакомые, то надеюсь можно и так спросить, договориться. Но если это чужие люди, то..... читай правила.

Cruzenshtern · Отправлено: **17:34, 04-05-2017** | #9

Цитата Juiceee:

Ну вот, сейчас новость прилетела: сбрутили по RDP учётку energy (в этот раз локальную) с паролем XDr5tytu!.
Вот и не укладывается у меня в голове, как это происходит. Просто если предположить, что у меня есть список имён пользователей и список самых распространённых паролей. В первом списке 10 000 имён, во втором 10 млн. паролей. Вероятность подбора очень сильно от единички отличается. Время подбора - просто зашкаливает: оба списка пройти, сгенерировав 100-миллиардную комбинацию - это проблематично оставить незаметным, да ещё и в приемлемые сроки (!!!). Вот и начали просыпаться комплексы :-) ибо не могу даже предположить, как такое можно сделать. »

Возможно вирус кейлогер. Сканит логины и пароли, если вы пользуетесь этой учеткой. (первое что в голову пришло)

Juiceee · Отправлено: **18:20, 04-05-2017** | #10

В смысле сканит?