Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] Пытаются взломать сервер, как поступить?

1 2 Следующая >
Ответить
Настройки темы
2008 R2 - [решено] Пытаются взломать сервер, как поступить?

Аватара для Sermion

Старожил


Сообщения: 370
Благодарности: 36


Конфигурация

Профиль | Сайт | Отправить PM | Цитировать

Вложения
Тип файла: 7z аудит юркин.7z
(286.8 Kb, 28 просмотров)
Сервер 2008R2 с RDP
Некоторое время назад директор перестал подключаться к серверу через remoteAPP, rdp
Посмотрел логи аудита (прикреплены к теме): там явно видно перебор на взлом.
Проверил IP, большая часть Китай и Малайзия, но попался и российский ip, бауманский университет )))
  1. Как поступить?
  2. Не совсем понятно почему отвалился доступ у директора. Возможно из-за перебора где-то логин его блокируется. логин DIR. Куда копать?
  3. Другие сотрудники логиняться нормально. Учётка директора с других ПК коннектиться (не входил, пароля не помню)
  4. Ноут директора на хрюше, заведён в другой домен вообще. У нас DC нет, просто рабочая группа.


ipconfig /all


Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : tosh-yurk
Основной DNS-суффикс . . . . . . : agro.net
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : agro.net
URK

Local Area Connection - Ethernet адаптер:

Состояние сети . . . . . . . . . : сеть отключена
Описание . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Eth
ernet NIC
Физический адрес. . . . . . . . . : 00-1B-24-A6-40-7B

Wireless Network Connection - Ethernet адаптер:

DNS-суффикс этого подключения . . : URK
Описание . . . . . . . . . . . . : Intel(R) Wireless WiFi Link 4965AGN
Физический адрес. . . . . . . . . : 00-13-E8-B8-8E-19
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.13.14
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.13.1
DHCP-сервер . . . . . . . . . . . : 192.168.13.2
DNS-серверы . . . . . . . . . . . : 93.178.96.12
93.178.96.10
Аренда получена . . . . . . . . . : 16 апреля 2013 г. 9:44:07
Аренда истекает . . . . . . . . . : 19 января 2038 г. 7:14:07

-------
Я отрицаю всё - и в этом суть моя
Затем, что лишь на то, чтоб с громом провалиться,
Годна вся эта дрянь, что на земле живёт.
Не лучше ль было б им уж вовсе не родиться!
Короче, всё, что злом ваш брат зовёт,-
Стремленье разрушать, дела и мысли злые,
Вот это всё - моя стихия !

----------------------------------------------------------------------------------------
если Вы считаете эту информацию полезной, нажмите ниже Полезное сообщение

Отправлено: 11:37, 16-04-2013

 

Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать

Цитата Sermion:
Не совсем понятно почему отвалился доступ у директора. Возможно из-за перебора где-то логин его блокируется. логин DIR. Куда копать? »
в более сложный логин.
Цитата Sermion:
Учётка директора с других ПК коннектиться (не входил, пароля не помню) »
не поняла.
Цитата Sermion:
Ноут директора на хрюше, заведён в другой домен вообще. У нас DC нет, просто рабочая группа. »
это ни на что не влияет.
Цитата Sermion:
Как поступить? »
VPN?
или доступ к 3389 с определённых адресов.

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.

Отправлено: 12:16, 16-04-2013 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для ShaddyR

Железных Дел Мастер


Moderator


Сообщения: 24701
Благодарности: 4526

Профиль | Сайт | Отправить PM | Цитировать

Цитата Sermion:
там явно видно перебор на взлом »
если порт выведен во внешку - сменить порт,
Цитата cameron:
VPN?
или доступ к 3389 с определённых адресов. »
. Не думаю, что имеет место быть целенаправленный взлом, скорее - ddos'ят. Для твоей ОС при соблюдении мер безопасности - бесполезная трата времени.

-------
[FAQ] Как определить аппаратную конфигурацию компьютера и правильно задать вопрос
-------
В благодарность за помощь нажимаем ссылочку "Полезное сообщение" внизу этого самого сообщения (подробнее). Помните: админ конфеты НЕ ПЬЁТ ;)
-------
Говори, что думаешь и думай, что говоришь! (c) || МОЙ ShaddyR.at.UA/blog - Новая метла и инвентаризация)

Отправлено: 14:39, 16-04-2013 | #3


Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать

Цитата ShaddyR:
скорее - ddos'ят »
на 3389? О_о
это брутфорс в числом виде, какой ддос на порты RDP?

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.

Это сообщение посчитали полезным следующие участники:

Отправлено: 15:00, 16-04-2013 | #4


Аватара для Sermion

Старожил


Сообщения: 370
Благодарности: 36

Профиль | Сайт | Отправить PM | Цитировать

во вложении файл событий журнала безопасности сервера. там разные порты, не только 3389.
Пришёл к выводу что учётка всё же не причём, но надо попробывать залогиниться под другой с ноута директора.
Про безопасность "бесполезная трата времени" согласен, самое интересное что на маршрутизаторе проброшены порты только для rdp

-------
Я отрицаю всё - и в этом суть моя
Затем, что лишь на то, чтоб с громом провалиться,
Годна вся эта дрянь, что на земле живёт.
Не лучше ль было б им уж вовсе не родиться!
Короче, всё, что злом ваш брат зовёт,-
Стремленье разрушать, дела и мысли злые,
Вот это всё - моя стихия !

----------------------------------------------------------------------------------------
если Вы считаете эту информацию полезной, нажмите ниже Полезное сообщение

Отправлено: 23:03, 16-04-2013 | #5


Аватара для ShaddyR

Железных Дел Мастер


Moderator


Сообщения: 24701
Благодарности: 4526

Профиль | Сайт | Отправить PM | Цитировать

Цитата cameron:
на 3389? О_о »
->
Цитата:
В версиях RDP до 6.0 при подключении по RDP клиенту до аутентификации надо показать окно входа – т.е. вначале показать, а потом уже он попробует зайти в систему. Это создаёт простую уязвимость – сервер можно перегрузить пачкой запросов “а дай-ка мне попробовать новую сессию начать”, и он будет вынужден на все запросы отвечать созданием сессии и ожиданием входа пользователя. Фактически, это возможность DoS.
это так, вкратце)

-------
[FAQ] Как определить аппаратную конфигурацию компьютера и правильно задать вопрос
-------
В благодарность за помощь нажимаем ссылочку "Полезное сообщение" внизу этого самого сообщения (подробнее). Помните: админ конфеты НЕ ПЬЁТ ;)
-------
Говори, что думаешь и думай, что говоришь! (c) || МОЙ ShaddyR.at.UA/blog - Новая метла и инвентаризация)

Отправлено: 03:37, 17-04-2013 | #6


Ветеран


Сообщения: 1496
Благодарности: 384

Профиль | Отправить PM | Цитировать

1. Смена порта против китайцев не поможет, доказано на опыте.
2. Если я правильно смог перевести текст вопроса, директор работает на Windows XP, небезопасной Home. Думаю, на сервере не включён механизм Network Level Authentication. Это следует сделать незамедлительно, иначе взлом через прослушивание трафика — секундное дело. На XP RDP NLA включается через реестр.

-------
Microsoft Certified Trainer; Cisco Certified Systems Instructor; Certified EC-Council Instructor; Certified Ethical Hacker v8.

Отправлено: 09:18, 18-04-2013 | #7


Аватара для Cruzenshtern

Старожил


Сообщения: 252
Благодарности: 26

Профиль | Отправить PM | Цитировать

WindowsNT, Не в тему но думаю стоит спросить.
А вот для Andoroid есть прога RDP которая бы поддерживала NLA? А то у меня сейчас стоит 2X Client но он этого не поддерживает а очень хотелось бы.

Отправлено: 09:41, 18-04-2013 | #8


Ветеран


Сообщения: 1496
Благодарности: 384

Профиль | Отправить PM | Цитировать

Dear Cruzenshtern,
Андроиды выходят за рамки моей компетенции.

-------
Microsoft Certified Trainer; Cisco Certified Systems Instructor; Certified EC-Council Instructor; Certified Ethical Hacker v8.

Отправлено: 19:26, 18-04-2013 | #9


Аватара для Sermion

Старожил


Сообщения: 370
Благодарности: 36

Профиль | Сайт | Отправить PM | Цитировать



как победить, не пойму
Естественно, такого пользователя нет....
Network Level Authentication включил, посмотрим...

С ноута директора RDP к другим внешним серверам подключается, к своему в локалке нет. RDP обновил с мелкомягкого до 7-й версии (последняя для хрюши).
ХЗ куда копать.

-------
Я отрицаю всё - и в этом суть моя
Затем, что лишь на то, чтоб с громом провалиться,
Годна вся эта дрянь, что на земле живёт.
Не лучше ль было б им уж вовсе не родиться!
Короче, всё, что злом ваш брат зовёт,-
Стремленье разрушать, дела и мысли злые,
Вот это всё - моя стихия !

----------------------------------------------------------------------------------------
если Вы считаете эту информацию полезной, нажмите ниже Полезное сообщение

Последний раз редактировалось Sermion, 18-04-2013 в 22:49.

Отправлено: 21:33, 18-04-2013 | #10

1 2 Следующая >


Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] Пытаются взломать сервер, как поступить?

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Как поступить? Konsta Хочу все знать 8 15-06-2009 19:07
RAID - Как поступить в первую очередь? с RAID 0 AppleNTU Накопители (SSD, HDD, USB Flash) 7 29-01-2009 09:22
Пытаются взломать, что делать? Varheyt Защита компьютерных систем 3 08-10-2007 08:40
Как поступить с хардами Denhell Накопители (SSD, HDD, USB Flash) 14 07-04-2005 16:20
Как мне поступить... OneQuaker Хочу все знать 40 25-09-2002 23:44


« Предыдущая тема | Следующая тема »


 
Переход