Доброго дня всем! Сегодня проверяя как работают регламентные задания обнаружил что ни одно не сработало по причине блокировки учетной записи с которой должны выполняться. Начал искать причину блокировки и зайдя в журнал безопасности обнаружил что с одной из машин происходят регулярные попытки подключения с несуществующим логином. Как обнаружить что именно пытается ломиться на сервер и как это обезвредить?
За час в журнале безопасности 1800 записей аудита отказа, известна машина с которой происходит попытка входа, но антивирь ничего не находит.
Достаточно забавно получается, но мое предположение оказалось правдой, остановил диспетчер печати на машине которая вызывала аудит отказа и в журнале безопасности сервера прекратили сыпаться записи. Осталось разобраться в чем дело или же банально сбросить и настроить все заново.
Спустя некоторое время проблема вернулась и появилась на новой учетной записи. Решилось все удалением всех принтеров на машине клиенте, читской папки C:\Windows\System32\spool\PRINTERS, и чисткой реестра программой Ccleaner.
Malwarebytes нашел несколько угроз и закинул в карантин, но все они были не тем что я искал, попытки ломиться продолжаются. Может есть метод как отследить из какого процесса происходит попытка взлома?
А есть какой-то паттерн по времени попыток подключения? Возможно по времени станет понятнее кто безобразничает?
И посмотрите currports-ом, возможно поможет посмотреть что за процесс на локальной машине ломится на сервер?
smesh, Пытается подключиться чаще чем раз в секунду, явно не ручками кто то балуется. В Currports есть подозрительная активность, Unknown процесс ломится по всем айпишникам в локалке.
PrilForReal, сравните local port в Currports с локальным портом в TCP-подключениях вкладки Сеть Мониторинга ресурсов. Иногда он адекватнее показывает имя процесса.
PrilForReal, Из-за очень быстрого обновления процесса (он несколько ваз в секунду пытается подключиться с разных портов) сложно было поймать. В аудите отказа под портом 63619 была попытка подключения, в мониторе ресурсов в то же время из под этого порта к северу стучался процесс System.
В общем создал новую учетку windows на клиенте, на старой завершил сеанс, подключения пропали, закрадываются сомнения насчет вируса, возможно какая то заблудшая служба печати к принтеру которого давно нет на сервере пытается подключиться или что то в этом духе, конечно интересно было бы разобраться что происходит, т.к. это не совсем решение а уход от задачи.
Средний
