|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » спаммер на терминальном сервере |
|
|
спаммер на терминальном сервере
|
|
Новый участник Сообщения: 6 |
Добрый день. Сегодня заметил 3 новых учётки (web user admin)на своем рабочем терминальном сервере. Работает на нем 10 моих клиентов у всех права Пользователей. Каким то чудесным образом появились 3 новых, я их удалил обратил внимание на рабочем столе одной из учёток была программа для рассылки спама не помню как называется, но суть не в том. Удалил левые учётки с обеда прихожу сегодня снова созданы со всеми возможными правами доступа и снова те же имена и софт снова появился. Как вычислить где дыра. На вирусы проверил, что то было найдено удалил.
В логе сервер постоянно пишет Удаленный сеанс от клиента по имени a превысил максимальное число неудачных попыток входа. Сеанс был принудительно завершен. Вот лог подключения левого пользователя user Попытка входа с явным указанием учетных данных: Вошедший пользователь: Пользователь: TERM-SRV$ Домен: RFO190 Код входа: (0x0,0x3E7) Код GUID: - Были использованы учетные данные пользоваиеля: Целевой пользователь: user Целевой домен: TERM-SRV Целевой код GUID: - Имя целевого сервера: localhost Данные целевого сервера: localhost Код процесса вызывающего: 6292 Адрес сети источника: 41.138.173.80 Порт источника: 49304 |
|
|
Отправлено: 12:57, 16-09-2013 |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать пароли на пользователях сделайте по-сложней чем "123456", на админе соот-но тоже.
|
|
------- Отправлено: 15:37, 16-09-2013 | #2 |
|
Ветеран Сообщения: 1496
|
Профиль | Отправить PM | Цитировать Вполне очевидно, что система взломана.
Опишите, как сервер подключен к локальной сети и к Интернету (доступен ли он снаружи). Как ещё службы/программы установлены и работают на этой машине. Какие меры по защите от взлома вы предприняли изначально. |
|
------- Отправлено: 17:47, 16-09-2013 | #3 |
|
Новый участник Сообщения: 6
|
Профиль | Отправить PM | Цитировать Значит ситуация следующая. Сервер находится в локальной сети в интернете находится за маршрутиризатором Cisco клиенты заходят через mtsc по внешнему ip и перебрасываются на терминальный по стандартному порту. Другая часть клиентов работают через свою местную мультисервесную сеть и через прокси сервер который второй сетёвкой в моей сети так же попадают на мой сервер. После 3-х неправильных вводов пароля блок на 30 минут. Службы стандартные программы тоже ничего необычного только наши рабочие(бухгалтерские) работаю в бюджетной сфере. Сервер работает уже 5 лет проблем не было. Пароль у всех буквенно цифровой 8 символов. Сейчас заблокировал пользователей web и user теперь вход был час назад под Администратором с того же ip при чем пароль я сменил сегодня. На рабочем столе появляется картинка PUL9 видимо издёвка. Я уже думаю может сделать вход по сертификатам ?
Посмотрел службы, действительно было пара каких то "Левых" HP SI Service DokanMounter отключил |
|
Последний раз редактировалось fesenus, 16-09-2013 в 20:03. Отправлено: 19:51, 16-09-2013 | #4 |
|
Ветеран Сообщения: 1496
|
Профиль | Отправить PM | Цитировать Скомпрометированную систему следует уничтожить и переустановить с нуля с заведомо чистых источников. Это больше не ваш компьютер.
Так понимаю, блокировка Администратора не задействована. Так понимаю, "белые списки" программ не задействованы. Ничего не сказано про обновления. Ничего не сказано про привилегии пользователей. Какие ещё порты перенаправлены, неизвестно. Скорее всего, фильтрация трафика по "белым спискам" тоже не задействована. |
|
|
------- Отправлено: 00:40, 17-09-2013 | #5 |
|
Новый участник Сообщения: 6
|
Профиль | Отправить PM | Цитировать Уничтожать систему это конечно, сам понимаю, самое верное решение, но может быть существует какое либо решение найти брешь в системе? Блок Админа действительно нет. Система обновляется регулярно. Проброшенных портов других нет. Пользователи имеют только права пользователей и права удаленного пользователя рабочего стола без возможности установки ПО или вносить какие либо еще изменения в систему. Фильтрации трафика действительно нет.
|
|
Отправлено: 10:20, 17-09-2013 | #6 |
|
Ветеран Сообщения: 1496
|
Профиль | Отправить PM | Цитировать Систем скомпрометирована. Это фактически приговор. Не надо держать хакера за дурака, он мог просчитать уже несколько сценариев вперёд и подготовиться. По-любому есть смысл заменить систему на более новую. Трафик терминального сервера 2003 легко перехватывается, и пароли пользователей я вам скажу за несколько секунд. Вход смарт-картами — мероприятие нетривиальное, если нет опыта, то нормально не осилите.
|
|
------- Отправлено: 10:58, 17-09-2013 | #7 |
|
Новый участник Сообщения: 6
|
Профиль | Отправить PM | Цитировать Уж за дурака его или её точно не держу, а так я Вас понял, благодарю за помощь! Буду ставить систему
|
|
Отправлено: 13:04, 17-09-2013 | #8 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| V. 2010 - exchange 2010 на терминальном сервере | alexvas88888 | Microsoft Exchange Server | 4 | 02-01-2011 17:32 | |
| EventID - 3 ошибки на терминальном сервере 2008 | ss87neo | Устранение критических ошибок Windows | 1 | 27-10-2010 14:06 | |
| Удаление профилей на терминальном сервере | BANDI-OGA | Microsoft Windows NT/2000/2003 | 8 | 08-05-2009 16:32 | |
| Проблема с принтером на Терминальном сервере. | TywkaH4uk | Microsoft Windows NT/2000/2003 | 0 | 13-11-2008 13:54 | |
| Использование - Office 2003 на терминальном сервере | slow | Лицензирование продуктов Microsoft | 8 | 17-10-2008 15:53 | |
|
|
Время: 23:42. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
