[решено] Windows 2003 Server блокирует учетки

camomile · Отправлено: **08:09, 14-01-2009** | #2

Все? или только администратора?

sec1or · Отправлено: **08:13, 14-01-2009** | #3

Троих админов домена и прмерно 2-10 юзверей у остальных все норм

до этого были ошибки в журнали с файлом sam это который пассворд хранит ошибки повторялись примерно 4 раза в секунду напарник почистил журнал и не сохранил конкретниее сказть не могу ща эти ошибки не повторяются а записи все ровно блокируются !
накидайте вариантов пжалуйста

camomile · Отправлено: **08:30, 14-01-2009** | #4

вариантов пока немного, менялись ли пароли, были ли какие-то серьезные сбои?
Учетки блокируются вероятно потому, что какие-то программы/службы пытаются получить доступ с недействующим паролем. Хотя бы приблизительно ошибки sam можете описать?

sec1or · Отправлено: **08:33, 14-01-2009** | #5

пароли не менялись с боев до вчерашнего дня небыло вчера начались ошибки sam и усе приехали ....

Oleg Krylov · Отправлено: **09:38, 14-01-2009** | #6

Вирь, скорее всего SECTOR5, очень гадкий самомодифицирующийся зверь. С зараженных машин идет подбор паролей брутфорсом. Составьте на основе анализа Security logs список машин с которых происходит работают проблемные пользователи, и при помощи Live CD с интегрированным DrWEB например, проверьте машины.

sec1or · Отправлено: **09:43, 14-01-2009** | #7

да возможно вирусы на машинах каспер видить но удалить не может

все ясно буду пробывать спасибо

как разберусь отпишу

Pojidaev · Отправлено: **09:46, 14-01-2009** | #8

Аналогичная проблема появилась и в нашей сетке, точно 11 января в 10:20 утра, когда отдохнувшие за 12 дней пользователи кинулись в Инет и начали совать в компы флешки с фотографиями.
В журналах сервера пишеться SAM 12294 - это перебор пароля чем пользуются для брутфорс атак.
В нашем случае оказался вирус W32.Downaup.B (так его Symantec) определяет. Сел и на сервера и на рабочие станции, вирус свежий, появился примерно 5 января, последняя модификация 11 января. 3-й день идет борьба, т.к. сетка не маленькая.

Подробности о вирусе можно посмотреть здесь https://forums.symantec.com/t5/blogs...article-id/225

Седующая ветка в форуме - тоже по этому поводу

Методы:
1. Установка патча от Микрософт из KB958644 на сервера и рабочие станции
2. Лечение обновленным антивирусом всей сети (пока только Symantec и BitDefender , остальные его не видят)
3. Запрет автозапуска со съемных накопителей и расшаренных сетевых дисков (вирус использует файл autorun.inf в корне этих дисов).

Сейчас стало немного легче, но до конца проблему еще не решили ....

sec1or · Отправлено: **10:51, 14-01-2009** | #9

Event Type: Error
Event Source: SAM
Event Category: None
Event ID: 12294
Date: 14.01.2009
Time: 14:46:13
User: COLLEGE\Administrator
Computer: NS
Description:
The SAM database was unable to lockout the account of Administrator due to a resource error, such as a hard disk write failure (the specific error code is in the error data) . Accounts are locked after a certain number of bad passwords are provided so please consider resetting the password of the account mentioned above.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: a5 02 00 c0 ?..A

sec1or · Отправлено: **11:19, 14-01-2009** | #10

А вот ета ошибка