Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Пн Мар 15 2004 11:44 Заголовок сообщения: Устал, сил нет. Ну найдется хоть одна мысля |
|
|
Ну долбится что-то Короче, сетя Win2K поднят AD. Стоит защита на то что по введению 40 неправильных паролей происходит блокировка учетной записи. Вот она и блокируется. Постоянно у кого-то учетная запись вылетает. Ну сил нет бегать по всем, а потом с сервака править. Не могу понять в чем трабла. Это точно не юзеры неправильные пароли набирают. Потому что в логе на сервере идет вход примерно 5 паролей в секунду. Не может человек так тупо набирать. Да и не будут. А еще преемущественно слетают люди с 98. Хотя я не помню у ХР такое было. И самое неприятное что обращение происходит (так пишут винды в логах) с той самой машины на которой юзер сидит. Вот что делать? Может фает с полным разрешение поставить чтоб мониторил. Мне надо что-то что сможет засечь такие вот обращения на сервер и показать либо IP либо (идеальный вариант) мак адрес той машины с которой эта гадость идет. А как выясню так дальше разберусь с проблемой самостоятельно. Помогите, пожалуйста. Ну очень устал. Принимаю любые предложения.
Заранее благодарен за любую помощь.
P.S. Ведь должно быть решение ведь так можно любую сеть сажать в даун маленькой программулькой. |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Пн Мар 15 2004 12:58 Заголовок сообщения: |
|
|
Слышал я, что АД критична к разнице во времени на сервере и клиентах. Может в этом засада какая? _________________ Удачи! |
|
Вернуться к началу |
|
|
ASD_ROJD
Зарегистрирован: 15.03.2004 Сообщения: 15
|
Добавлено: Пн Мар 15 2004 13:26 Заголовок сообщения: |
|
|
ПОКА СОВЕТУЮ КЛИЧЕСТВО НЕВЕРНЫХ ПАРОЛЕЙ УВЕЛИЧИТЬ ПРИМЕРНО ДО 100!
Я СЛЫШАЛ НА СЧЁТ РАЗНИЦЫ ВО ВРЕМЕНИ НО ЭТО НЕ С ПАРОЛЯМИ!
ТАМ ДРУГАЯ ФИЧА БЫЛА.
САМОЕ ПРОСТО НО СЛОЖНОЕ ЗА ТО 100 ПРОЦЕНТНОЕ
ОСТАНЬСЯ ПОСЛЕ РАБОТЫ И КОГДА НИ КОГО НЕТУ! САМ СЯДЬ ЗА ТЕМАШИНЫ ГДЕ БЛОКИРУЕТСЯ ЗАПИСЬ И САМ ПОПРОБУЙ ПОНАБИРАТЬ ЛЕВЫЕ ПАРОЛИ (ПРИ ЭТОМ ЛИШНИЕ ЯЩИКИ РАБОТАТЬ НЕ ДОЛЖНЫ)
САМ ДАЛЬШЕ ДУМАЮ РАЗБЕРЕШСЯ! |
|
Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Пн Мар 15 2004 14:12 Заголовок сообщения: |
|
|
Ну и что это мне даст? Ну увижу я тоже самое что и сейчас вижу и дальше что? Можно подробнее в чем я должен разобраться. Про время я слышал, но тут дело в том, что машина работает допустим год и вдруг начинается концерт. Если бы это было со временем это было бы постоянно. А тут вот такая лажа. Мне бы прогу чтоб говорила о том с какого МАК адреса произошел вход или неудачный вход. И тогда всему и всем конец настанет. |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Пн Мар 15 2004 14:54 Заголовок сообщения: |
|
|
Ты не привел текст конкретных ошибок, но думсаю что причина может быть во входе без авторизации а потом к обращению к ресурсам домена. Например на 2к вошел под локальным админом, а комп в сети. Ессно при обращение к сетевым ресурсам зачем-то там у тебя весь сервер будет завален подобным... Может и тут тоже самое? Входят нажав отмену а потом в сеть лезут? |
|
Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Пн Мар 15 2004 15:21 Заголовок сообщения: |
|
|
Да вот только что проверил. Если в сеть не заходить то в логах вообще ничего не отображается у меня. Здесь что-то другое... А вот что? А может есть программа которая скажет хоть не МАС а хоть IP? |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Пн Мар 15 2004 16:01 Заголовок сообщения: |
|
|
Спроси пользователей, с каких машин они заходили. Может на самих машинах что-то установлено? _________________ Удачи! |
|
Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Пн Мар 15 2004 16:07 Заголовок сообщения: |
|
|
Со своих машин заходят. Да и на машинах ничего нет такого экстримального. Ворд да Эксель. Мне программа нужна. Неужели никто с такой проблемой не сталкивал. Везде свеженький веб стоит. |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Пн Мар 15 2004 16:16 Заголовок сообщения: |
|
|
Вирусы? _________________ Удачи! |
|
Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Пн Мар 15 2004 16:43 Заголовок сообщения: |
|
|
Да врятли. Я же говорю доктора веба поставил на все машины и обновляю его ежедневно. Тут с горя поставил Ethreal кто знает каке обращения проходят к серверу в момент аутентификации пользователя? Т.е. по какому протоколу? По какому порту? Сетя большая и очень много пакетов идет. Просто шквал. А посколько трабла появляется периодически ни один комп не выдержит такого объема инфы проходящей через сетевой интерфейс |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Вт Мар 16 2004 10:59 Заголовок сообщения: |
|
|
А может какую-нибудь ИСУ прикрутить? Она, вроде бы, дает возможность отследить МАКи, с которых происходит обращение. Да и с Виндозой дружна до боли. Может еще и юзеров АД подхватывать умеет? Попробуй. Сам так не делал, поэтому говорю, как вариант. Может еще кто подскажет по возможностям ИСЫ? _________________ Удачи! |
|
Вернуться к началу |
|
|
Гость
|
Добавлено: Вт Мар 16 2004 11:09 Заголовок сообщения: |
|
|
По макам ISA Server не даёт отслеживать, c AD интегрируется полностью, можно глядеть какой юзер и чего делает..... |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Вт Мар 16 2004 11:16 Заголовок сообщения: |
|
|
Anonymous писал(а): | По макам ISA Server не даёт отслеживать, |
Мне казалось, что дает...
Цитата: | c AD интегрируется полностью, можно глядеть какой юзер и чего делает..... |
тоже можно как-нибудь использовать _________________ Удачи! |
|
Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Вт Мар 16 2004 15:29 Заголовок сообщения: |
|
|
Ёу, мне бы не оченьно хотелось засирать копроративный сервак такими вещами... |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Вт Мар 16 2004 18:31 Заголовок сообщения: |
|
|
Nicola писал(а): | Ёу, мне бы не оченьно хотелось засирать копроративный сервак такими вещами... |
Ну, знаешь!.. все равно чем-то засерать придется! А сколько, кстати, пользователей? _________________ Удачи! |
|
Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Ср Мар 17 2004 08:26 Заголовок сообщения: |
|
|
Пользователей в районе 100 |
|
Вернуться к началу |
|
|
DrDr Гость
|
Добавлено: Ср Мар 17 2004 11:31 Заголовок сообщения: |
|
|
Слушай, а может вся беда в том, что сеть большая (в смысле - длинная). Может хабы все на свичи поменять, тогда в физике шума меньше будет и всё заработает? |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Чт Мар 18 2004 12:15 Заголовок сообщения: |
|
|
Nicola писал(а): | Пользователей в районе 100 |
М-да... Переделывать - заподло! _________________ Удачи! |
|
Вернуться к началу |
|
|
гость Гость
|
Добавлено: Чт Мар 18 2004 16:58 Заголовок сообщения: |
|
|
точно ничем помоч немогу только могу сказать что скорее всего кто-то из инета подбирает пароль к вашему серваку и делает это с помощю проги .... вот |
|
Вернуться к началу |
|
|
watcher Гость
|
Добавлено: Чт Мар 18 2004 17:29 Заголовок сообщения: |
|
|
А аудит безопасности включали и логи файера смотрели? |
|
Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Пт Мар 19 2004 11:49 Заголовок сообщения: |
|
|
DrDr писал(а): | Слушай, а может вся беда в том, что сеть большая (в смысле - длинная). Может хабы все на свичи поменять, тогда в физике шума меньше будет и всё заработает? |
Вся сетя прямая, сам делал. Все звездой. Почти везде свичи, два хаба остались но они хорошие и никаких проблем с ними нет. Здесь дело не в этом точно. Нигде задержки нет более 1 милисекунды даже в "час пик". Так что на это пинят меня вообще мысли не было |
|
Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Пт Мар 19 2004 11:52 Заголовок сообщения: |
|
|
гость писал(а): | точно ничем помоч немогу только могу сказать что скорее всего кто-то из инета подбирает пароль к вашему серваку и делает это с помощю проги .... вот |
Нету, бель, в этой сети интернета так бы я все на роутере отсек |
|
Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Пт Мар 19 2004 11:53 Заголовок сообщения: |
|
|
watcher писал(а): | А аудит безопасности включали и логи файера смотрели? |
Ну так я в начале про аудит и писал. А фаера на сервере нет. |
|
Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Пт Мар 19 2004 12:05 Заголовок сообщения: |
|
|
А, тут еще инфа подоспела. Говорят у друга где он работает тоже кто-то так падлил. До сих пор выяснить не могут. |
|
Вернуться к началу |
|
|
watcher Гость
|
Добавлено: Пт Мар 19 2004 14:55 Заголовок сообщения: |
|
|
буду повторяться:
где-то в сети болтается переборщик паролей!
(просто кому-то скучно наверное и с захотел с админом поговорить!)
либо кто-то спец. долбит!
смотря у кого какие права!
Вы выяснили идет перебор извне или из внутренней сети?
поставьте файер! и netmon'om отслеживайте обращения к серверу!
отключите кэш паролей на раб. станциях и включите полный аудит!
и безопасности и обращения к ресурсам!
в вашем случае придется применить "драконовские методы" и устроить тотальную слежку!
запустите снифер и читайте логи (придется очень долго читать )
ограничьте юзеров в правах и т.д
закройте лишние порты и запретите запуск и установку неизвестных программ! проверьте на вирусы(желательно неск. антивирусами)
вычистите реестр на наличия троянов и т.д
проверьте не было ли получения более высоких привелегий!
чудес не бывает!!!
если не хотите всем этим заниматься,можно просто форматнуть тачки и залить по-новому,с ограничениями и т.д |
|
Вернуться к началу |
|
|
|