KK
Составь список серверов кто в мир торчит. Смотри логи на них.
Size: a a a
2020 July 20
K
Но первое яб посмотрел ову
K
И терминалки
KK
Вроде можно расширить лог. И увидеть какой сервер отправляет
ДС
Включил события 8004, это оно? Там видно несколько серверов, но из 5 доступ с внешки есть только на один.
ДС
Но первое яб посмотрел ову
Это соответственно логи IIS?
KK
ДС
Спасибо, читал, но особо не помогло
KK
Можешь на роутере ловить пакеты с внешним ИП. Узнаешь куда долбиться и по каким портам
ДС
Можешь на роутере ловить пакеты с внешним ИП. Узнаешь куда долбиться и по каким портам
Да, наверно надо будет так попробовать. Спасибо
EV
Дмитрий Стародубцев
Коллеги, добрый день.
Есть серьёзный вопрос по безопасности. На контроллере видно много ивентов 4625, в них около 50 внешних ip адресов пытаются заломиться под учёткой Administrator. Скорее всего они это делают через серверы, которые открыты для внешки.
Как можно определить через какие серверы идёт подбор?
Есть серьёзный вопрос по безопасности. На контроллере видно много ивентов 4625, в них около 50 внешних ip адресов пытаются заломиться под учёткой Administrator. Скорее всего они это делают через серверы, которые открыты для внешки.
Как можно определить через какие серверы идёт подбор?
Моё предложение как всегда в силе))
Если что - проконсультирую
Если что - проконсультирую
MO
Дмитрий Стародубцев
Коллеги, добрый день.
Есть серьёзный вопрос по безопасности. На контроллере видно много ивентов 4625, в них около 50 внешних ip адресов пытаются заломиться под учёткой Administrator. Скорее всего они это делают через серверы, которые открыты для внешки.
Как можно определить через какие серверы идёт подбор?
Есть серьёзный вопрос по безопасности. На контроллере видно много ивентов 4625, в них около 50 внешних ip адресов пытаются заломиться под учёткой Administrator. Скорее всего они это делают через серверы, которые открыты для внешки.
Как можно определить через какие серверы идёт подбор?
ДС
Да, это внешний адрес. Но прилетает на контроллер он не напрямую из интернета, а через один из серверов, открытых в интернет. Так?
VK
Моё предложение как всегда в силе))
Если что - проконсультирую
Если что - проконсультирую
ДС
Моё предложение как всегда в силе))
Если что - проконсультирую
Если что - проконсультирую
Это входит в те полчаса?)
MS
Моё предложение как всегда в силе))
Если что - проконсультирую
Если что - проконсультирую
А что вы готовы предложить?:))
KK
выезд? аппартаменты?
MS
выезд? аппартаменты?
Ну посмотреть все варианты надо:) а то вдруг нам тоже надо
АФ
Дмитрий Стародубцев
An account failed to log on.
Subject:
Security ID: S-1-0-0
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: ADMINISTRATOR
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC000006A
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: -
Source Network Address: 118.180.214.5
Source Port: 0
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Subject:
Security ID: S-1-0-0
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: ADMINISTRATOR
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC000006A
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: -
Source Network Address: 118.180.214.5
Source Port: 0
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Если 4625 мало, попробуй так http://realit1.blogspot.com/2012/04/troubleshooting-active-directory.html?m=1
АФ
Хотя всегда событий из аудита хватало вроде