Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Компьютер попытался проверить учетные данные учетной записи. (http://forum.oszone.net/showthread.php?t=241914)

podrepny 03-09-2012 13:19 1982126
Компьютер попытался проверить учетные данные учетной записи.
 
Идет перебор паролей к моему серверу. В журнале есть запись:

читать дальше »
Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: admin
Исходная рабочая станция: SM
Код ошибки: 0xc0000064


Раньше атакующего можно было увидеть по IP в журнале:
читать дальше »
Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: система
Имя учетной записи: *$
Домен учетной записи: *
Код входа: 0x3e7

Тип входа: 10

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: administrator
Домен учетной записи: *

Сведения об ошибке:
Причина ошибки: Учетная запись блокирована.
Состояние: 0xc0000234
Подсостояние: 0x0

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0xdbd4
Имя процесса вызывающей стороны: C:\Windows\System32\winlogon.exe

Сведения о сети:
Имя рабочей станции: SM
Сетевой адрес источника: 41.233.81.153
Порт источника: 2103

Сведения о проверке подлинности:
Процесс входа: User32
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
...


Как защититься? Подскажите, что делать в таком случае?

Angry Demon 03-09-2012 13:40 1982136
Цитата:
Цитата podrepny
Как защититься?
Запретить все подключения, разрешить только с легитимных адресов. Брандмауэр.

podrepny 03-09-2012 13:48 1982139
Сидим на DSL с динамическим IP и подключаемся из разных мест.
Других вариантов нет? Только так?

Angry Demon 03-09-2012 14:28 1982157
Цитата:
Цитата podrepny
Сидим на DSL с динамическим IP и подключаемся из разных мест.
Как именно вы к серверу подключаетесь? По самбе? По RDP?

Molchune 03-09-2012 15:15 1982187
Ну ломатся по rdp
1. блочим IP (41.233.81.153)
2. смотрим кому принадлежит данный адрес - сеть адресов
3. Так как скорей всего это адрес какой адрес какого то провайдера то у него есть сайт есть служба ТП. пишешь туда что с это Ip-адреса идет подбор пасса. скидываешь ему логи (заранее почистив всю свою инфу и ждеш от них результата)
4. разрешаем только вход с известных ip адресов

podrepny 17-09-2012 16:30 1990341
Спасибо - помогло.

podrepny 11-12-2012 17:17 2043212
Каким образом можно отследить IP того кто пытался войти?
И почему не всегда пишется информация откуда была не удачная попытка, а иногда пишется?


Время: 20:06.

Время: 20:06.
© OSzone.net 2001-