Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Неизвестный подключается по RDP (http://forum.oszone.net/showthread.php?t=278449)

tyoma_xp 27-02-2014 12:45 2316626
Неизвестный подключается по RDP
 
Добрый день. Ситуация такая. Установлен Windows 2003, поднят сервер терминалов.
В диспетчере службы терминалом периодически стала появятся запись вида:
Сеанс: #8032
Пользователь: пусто
Состояние: Подключено
Тип: Microsoft RDP 5.2
Имя клиента: а
больше никакой информации нету

зато в событиях:
Удаленный сеанс от клиента по имени a превысил максимальное число неудачных попыток входа. Сеанс был принудительно завершен.

Найти сего супостата никак не получается. Компьютера с именем "а" в сети нету. Попытки подключения не пропадают после отключения интернет или wi-fi.
На роутере в разделе DHCP тоже нет ничего похожего на этот "а". Прошелся по кабинетам, тоже вроде вредителя из своих быть не может, к тому же зачем, если свои и так имеют свои логины и пароли.
Может какое-то приложение пытается установить соединение, само по себе?

Как найти супостата, хотя бы IP-шник. Или может установить на RDP сессию фильтр и перечислить в нем разрешенные IP? - если это можно сделать, то как?

Angry Demon 27-02-2014 12:56 2316634
Цитата:
Цитата tyoma_xp
Или может установить на RDP сессию фильтр и перечислить в нем разрешенные IP?
Вернее, использовать брандмауэр/файрволл, в котором запретить всё, кроме разрешённых адресов.

tyoma_xp 27-02-2014 13:46 2316666
спасибо, но изначальный вопрос был все таки в возможности найти проблему. что это за компьютер с сетевым именем "а", который ломится на сервак. не найдя проблему нормально запретить или разрешить все равно не получится. хотя устанавливать стороннее ПО на сервер тоже не хочется.

WindowsNT 27-02-2014 14:41 2316711
Если порт RDP открыт для доступа снаружи, то это вполне себе китайцы ломятся, угадывая пароли. Много раз такое видел.

tyoma_xp 27-02-2014 14:43 2316714
отключаю интернет но все равно продолжает ломится. но проверю на фаерволе еще раз возможность доступа, она должна быть открыта только для ограниченного списка. все же мне кажется что это какая то программа, возможно вирус. но не могу найти откуда.

WindowsNT 27-02-2014 17:18 2316851
Ну так смотрите хотя бы netstat /?.

El Scorpio 03-03-2014 05:04 2318367
Цитата:
Цитата tyoma_xp
Компьютера с именем "а" в сети нету. »
Что показывают команды ping a , arp a, tracert a?
Первая должна выдать IP-адрес данного компьютера, вторая - MAC-адрес, третья - последовательность промежуточных маршрутизаторов.

Цитата:
Цитата tyoma_xp
отключаю интернет но все равно продолжает ломится. »
Возможно у кого-то к компьютеру подключен личный usb-модем, а какая-нибудь программа занимается пробросом портов во внутреннюю сеть.

maxandrey 03-03-2014 16:19 2318546
Чтобы лишнее ПО не ставить, можно скачать бесплатную утилитку Anvir portable (прям у производителя с сайта, со страницы загрузки).
Запускаешь, переключаешься во вкладку с процессами и там внизу жмешь отображать Соединения (тот же netstat, только в удобном графическом виде) и смотришь.
Может быть удастся обнаружить.


Время: 08:57.

Время: 08:57.
© OSzone.net 2001-