Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Вопрос - проникновение ли это?

Ответить
Настройки темы
Вопрос - проникновение ли это?

Пользователь


Сообщения: 55
Благодарности: 0

Профиль | Отправить PM | Цитировать

Доброго времени суток всем, есть win 2003, две сетевых, user gate на раздаче интернета, hamachi для удаленного админства. Проблема с сегодняшнего утра нашел в событиях безопасности такие записи:
Операция с объектом:
Сервер объекта: LSA
Тип операции: Query
Тип объекта: SecretObject
Имя объекта: Policy\Secrets\L$HYDRAENCPUBLICKEY_dd2d98db-2316-11d2-b414-00c04fa30cc4
Код дескриптора: 1156448
Основной пользователь: SERVER$
Основной домен: WORKGROUP
Основной код входа: (0x0,0x3E7)
Пользователь-клиент: Администратор
Домен клиента: SERVER
Код входа клиента: (0x0,0xB0279B)
Доступ: Неизвестный специальный доступ (бит 1)

Свойства:
-
Дополнительные данные: -
Дополнительные данные 2: 0x2
Маска доступа: %16



а ранее была такая запись:
Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: ADMIN
Исходная рабочая станция: \\216.85.242.203
Код ошибки: 0xC0000064
хотя ни какой учетки ни Admin ни Administrator нет

ну и периодически были записи во вкладке системы от источника Lsasrv:
Анонимный сеанс, подключенный с 208.52.174.26, попытался открыть дескриптор политики LSA на этом компьютере. Эта попытка была отклонена с кодом STATUS_ACCESS_DENIED для предотвращения передачи анонимному клиенту секретных сведений.

причем адреса с которого подключаются анонимные сеансы всегда разные, я уже в панике, что это вирус или кто-то пытается пробиться на мой сервер?

Отправлено: 13:15, 07-10-2008

 

Старожил


Сообщения: 223
Благодарности: 53

Профиль | Отправить PM | Цитировать

Цитата дмитрий0101:
что это вирус или кто-то пытается пробиться на мой сервер? »
Может быть и то и другое. Похоже на сканирование вашего сервера. Сканеры безопасности используют различные сценарии проверки дыр в вашей системе, в том числе и некоторые стандартные имена пользователей типа admin, administrator. А поскольку вы видите подобные сообщения, значит некоторые из системных сервисов торчат наружу, привязаны к внешней сетевой карте. Скорее всего, это вам не нужно. В свойствах внешней сетевой карточки, оставьть галочку только для протокола TCP/IP. Попробуйте сами извне просканировать ваш сервер каким-нибудь сканером, например XSpider или Shadow Security Scaner, а лучше - линуксовым nmap. и по результатам настройте ваш файерволл так, чтобы из интернета к нему было не подступиться (закройте все или по максимуму порты, доступные извне).

-------
Переустановка Windows - как разморозка холодильника. Помогает, но ненадолго...

Отправлено: 15:11, 16-10-2008 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.



Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Вопрос - проникновение ли это?

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Что это? От куда это? semiono Тест-форум 7 27-11-2009 13:22
рекурсия DNS. Что это такое? и с чем это едят? Tonny_Bennet Microsoft Windows NT/2000/2003 4 18-08-2008 17:42
Вирус ли это? Guest Хочу все знать 2 04-01-2003 00:23


« Предыдущая тема | Следующая тема »


 
Переход