Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   проникновение ли это? (http://forum.oszone.net/showthread.php?t=119354)

дмитрий0101 07-10-2008 13:15 917848
проникновение ли это?
 
Доброго времени суток всем, есть win 2003, две сетевых, user gate на раздаче интернета, hamachi для удаленного админства. Проблема с сегодняшнего утра нашел в событиях безопасности такие записи:
Операция с объектом:
Сервер объекта: LSA
Тип операции: Query
Тип объекта: SecretObject
Имя объекта: Policy\Secrets\L$HYDRAENCPUBLICKEY_dd2d98db-2316-11d2-b414-00c04fa30cc4
Код дескриптора: 1156448
Основной пользователь: SERVER$
Основной домен: WORKGROUP
Основной код входа: (0x0,0x3E7)
Пользователь-клиент: Администратор
Домен клиента: SERVER
Код входа клиента: (0x0,0xB0279B)
Доступ: Неизвестный специальный доступ (бит 1)

Свойства:
-
Дополнительные данные: -
Дополнительные данные 2: 0x2
Маска доступа: %16



а ранее была такая запись:
Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: ADMIN
Исходная рабочая станция: \\216.85.242.203
Код ошибки: 0xC0000064
хотя ни какой учетки ни Admin ни Administrator нет

ну и периодически были записи во вкладке системы от источника Lsasrv:
Анонимный сеанс, подключенный с 208.52.174.26, попытался открыть дескриптор политики LSA на этом компьютере. Эта попытка была отклонена с кодом STATUS_ACCESS_DENIED для предотвращения передачи анонимному клиенту секретных сведений.

причем адреса с которого подключаются анонимные сеансы всегда разные, я уже в панике, что это вирус или кто-то пытается пробиться на мой сервер?

ab57 16-10-2008 15:11 925514
Цитата:
Цитата дмитрий0101
что это вирус или кто-то пытается пробиться на мой сервер? »
Может быть и то и другое. Похоже на сканирование вашего сервера. Сканеры безопасности используют различные сценарии проверки дыр в вашей системе, в том числе и некоторые стандартные имена пользователей типа admin, administrator. А поскольку вы видите подобные сообщения, значит некоторые из системных сервисов торчат наружу, привязаны к внешней сетевой карте. Скорее всего, это вам не нужно. В свойствах внешней сетевой карточки, оставьть галочку только для протокола TCP/IP. Попробуйте сами извне просканировать ваш сервер каким-нибудь сканером, например XSpider или Shadow Security Scaner, а лучше - линуксовым nmap. и по результатам настройте ваш файерволл так, чтобы из интернета к нему было не подступиться (закройте все или по максимуму порты, доступные извне).


Время: 02:08.

Время: 02:08.
© OSzone.net 2001-