Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Пт Фев 06 2004 16:58 Заголовок сообщения: Хочу засранца прижать, помогите. |
|
|
Проблем такой:
В домен кто-то долбится, не могу понять кто.
Это видно в логах безопастности.
Т.е. правильный пользователь, с правильного рабочего места вводит постоянно неправильный пароль и логин. Когда переполняются неправильные попытки запись блокируется. Я подумал криворукие юзера, а потом смотрю, мама моя родная! А долбежь идет чуть ли не какждые 0,2 секунды. Создается полное впечатление что активность создает юзер, но по времени так пароли не вводят. Да и доступа к этой машине нет вроде сторонним лицам.
Это было описание, а теперь, ВНИМАНИЕ ВОПРОС шучу КВН пересмотрел.
Какую прогу взять чтоб было можно увидеть все это только с более точной информацией. Желательно с IP и MAC адресом.
Вы пока подумайте, а я пойду поточу свой эскалибур, почищу свой кольт, и замочу розги.
Очень надо, плиз хелп!!!!!!!!!!!!!!!!!! |
|
Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Пт Фев 06 2004 16:59 Заголовок сообщения: |
|
|
А и еще, WIN2000 Asrv Актив деректори поднята. |
|
Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Пт Фев 06 2004 17:01 Заголовок сообщения: |
|
|
Хотя везде вроде д.р. веб стоит так что я думаю кто долбит тот знает что делает. На вирусню не похоже, т.к. выбраны специфические пароли доступа даже не админские, но имеющие некоторую интересную для кого-то там инфу. |
|
Вернуться к началу |
|
|
cerber
Зарегистрирован: 19.12.2003 Сообщения: 296 Откуда: Казахстан, Актюбинск
|
Добавлено: Сб Фев 07 2004 07:33 Заголовок сообщения: |
|
|
Возможно я ошибаюсь но вроде файрволл показывает подобную инфу |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Вс Фев 08 2004 09:58 Заголовок сообщения: |
|
|
Сетевой монитор тебе в помощь.
Не поможет - сниффер
Доктор веб тут не при чем - он не файрвол...
Еще, проверь не зашел ли юзер локально а не в домен. Если зашел локально, под учетной записью которая есть в домене но с другим паролем то такая фигня и будет.
Пример:
Есть юзер Администратор в домене с паролем 12345.
Есть комп КОМП который является членом домена и на нем Win2k.
Есть юзер Администратор на этом компе, с паролем 54321.
Так вот, если при входе выбрать вход на в домен а в "этот компьютер", и войти под логином Администратор с паролем 54321 то в логах сервера такая фигня и будет. Ты поимеешь кучу чередующихся мессаг типа неудачный вход, и ошибки проверки подлинности. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вс Фев 08 2004 20:43 Заголовок сообщения: |
|
|
Неужели в логах не отражается с какой рабочей станции это происходит?
Полный текст из Event Log дай. |
|
Вернуться к началу |
|
|
LAmobot
Зарегистрирован: 09.02.2004 Сообщения: 4 Откуда: Москва
|
Добавлено: Пн Фев 09 2004 00:55 Заголовок сообщения: |
|
|
FireWall поставь да логи его смотри там IP каждого компа который к тебе конектится будет. советую OutPost |
|
Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Пн Фев 09 2004 08:42 Заголовок сообщения: |
|
|
ALEX_SE писал(а): | Сетевой монитор тебе в помощь.
Не поможет - сниффер
Доктор веб тут не при чем - он не файрвол...
Еще, проверь не зашел ли юзер локально а не в домен. Если зашел локально, под учетной записью которая есть в домене но с другим паролем то такая фигня и будет.
Пример:
Есть юзер Администратор в домене с паролем 12345.
Есть комп КОМП который является членом домена и на нем Win2k.
Есть юзер Администратор на этом компе, с паролем 54321.
Так вот, если при входе выбрать вход на в домен а в "этот компьютер", и войти под логином Администратор с паролем 54321 то в логах сервера такая фигня и будет. Ты поимеешь кучу чередующихся мессаг типа неудачный вход, и ошибки проверки подлинности. |
А какие сетевые мониторы, какие сниффера, помогите, я никогда не занимался этим вопросом, что лучше поставить?
Д.р. Веб я имел в виду что он в сети на машинах стоит и не дает грузиться вирусам которые могут такие бяки исполнять.
Последняя догадка не верна там вообще 98 стоит. |
|
Вернуться к началу |
|
|
|