Имя: Пароль:
IT
Админ
 Ломитcя на сервер RDP сетевые машины
0 MikaelW
 
12.05.10
20:44
Стоит сервак 2003 терминальный(автоматическое обнавление включено) на нем 1С-ка крутиться 7-ка... Но это не особо важно.

Я решил навести порядок и в журнале обноружил, что кто-то переодически по 10-14 раз на дню пытается залезть на машину ANONYMOUS LOGON. Решил поставит туда(дополнительно на сервер) фаервол, благо на RDP и с нета заходят. И тут возникла проблема что если фаеру не нравится что в него много лезу он зарубает ИП(даже локальный). Анализ лога выявил следующее:

Event Type:    Success Audit
Event Source:    Security
Event Category:    Logon/Logoff
Event ID:    540
Date:        12.05.2010
Time:        19:13:06
User:        NT AUTHORITY\ANONYMOUS LOGON
Computer:    SP-1C-SERVER
Description:
Successful Network Logon:
   User Name:    
   Domain:        
   Logon ID:        (0x0,0x2636577)
   Logon Type:    3
   Logon Process:    NtLmSsp
   Authentication Package:    NTLM
   Workstation Name:    USERXP-D1F93AE0
   Logon GUID:    -
   Caller User Name:    -
   Caller Domain:    -
   Caller Logon ID:    -
   Caller Process ID: -
   Transited Services: -
   Source Network Address:    192.168.0.155
   Source Port:    0


For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Пытаются залезть с локальных машин и притом с разных правда в сети их всего 6. Даже с моей собственной когда я на нем по RDP работаю или не работаю. Вывод вирус. Сканирование Вебом, каспером и авастом не чего не нашло.

Что это может быть, кто знает?

Заранее спасибо.
1 MikaelW
 
12.05.10
20:45
Блин пардон за орфографию. Не прочитал заголовок. Сервер RDP.
2 IVIuXa
 
13.05.10
12:48
(0)
"И тут возникла проблема что если фаеру не нравится что в него много лезу он зарубает ИП(даже локальный)"

поподробней что за фаерволл ?
ты уверен что именно он зарубает ?
может это просто у когото из юзверей настроен .rdp на анонима вот и ломиться при запуске, а потом просит ввестись и конектиться нормально ?
3 IVIuXa
 
13.05.10
12:51
(0)
да и вообще у тебя в (0) успешный аудит :)
4 YF
 
13.05.10
12:55
(0) А гость включен что-ле на сервере?
5 Иду
 
13.05.10
13:11
(0) Не тупи, ANONYMOUS LOGON - это работа системной службы, а не анонимный вход пользователя.
6 MikaelW
 
13.05.10
19:52
(4) гость на серваке не включен, нах он там нужен.

(5) тогда на кой макар он туда постоянно лезет с моего компа без моей просьбы.
Вам лог журнала показать? И главное если выключить компы(все в офисе), то лезет постоянно с адреса 192.168.0.155(мой комп)

(2) AVS Firewall 2.1. Зарабует точно ОН, а автоматом создает правило на запрет ипа если на сервак ломиться.
7 MikaelW
 
13.05.10
19:53
(5) Хорошо если это служба то какая может с другого компа лесть?
8 MikaelW
 
14.05.10
13:36
UP
9 Мохнатый Лобстер
 
14.05.10
16:18
так это
а в чём проблема то?

в том что на компах в сети работают разные службы сетевые и сервак успешно обрабатывает их запросы???
10 Иду
 
14.05.10
16:23
(7) любая, которой надо влезть на сервер, начиная от dhcp или обеспечения принтеров, заканчивая попыткой всунуть в планировщик заданий на сервере, деструктивный скрипт.
11 Иду
 
14.05.10
16:25
+(10) Проверь на локальных машинках параметры обновления софта, походу оно и ломится, с антивирей начиная.
12 Мохнатый Лобстер
 
14.05.10
16:45
угу
ато ещё бывает виндовс тайм разбушуется, и сервак положит...
13 Torquader
 
15.05.10
18:27
netstat -a -n -b
на локальной машине и смотреть, кто и куда пытается влезть.
P.S. также можно посмотреть, как себя ведёт сервер, если у него запрашиваются сетевые ресурсы (а это именно Anonymous).
14 MikaelW
 
18.05.10
21:55
(13) Спасибо! Буду смотреть.
Отпишусь о результатах.
15 MikaelW
 
18.05.10
22:05
C:\Documents and Settings\Администратор>netstat

Активные подключения

 Имя    Локальный адрес        Внешний адрес          Состояние
 TCP    userxp-d1f93ae0:1145   192.168.0.104:netbios-ssn  TIME_WAIT
 TCP    userxp-d1f93ae0:4888   95-161-7-130.broadband.spb.TiERA.org:32348  ESTA
BLISHED
16 MikaelW
 
18.05.10
22:06
НЕТ БИОС...... Какого он на сервак стучится-то.....
17 MikaelW
 
19.05.10
12:35
Как отключить НЕТБИОС? Но мне нужно чтобы сетевые диски работали.
Я понять не могу, службу отключил, в настройках на ТСП перевел.
18 Черт
 
модератор
19.05.10
12:46
>>Как отключить НЕТБИОС?
В параметрах протокола TCP/IP, на вкладке "Дополнительно"
только зачем? :):)
19 eklmn
 
гуру
19.05.10
12:51
Жестокий админ...
20 eklmn
 
гуру
19.05.10
12:51
или Админ - жесть?
21 eklmn
 
гуру
19.05.10
12:52
Железный Админ 2
только на мисте уже в мае!
22 MikaelW
 
19.05.10
19:44
(18) TCP    userxp-d1f93ae0:1145   192.168.0.104:netbios-ssn  TIME_WAIT

192.168.0.104 у меня сервер. Какого на него по нетюиосу постоянно стучаться?
23 MikaelW
 
19.05.10
19:46
C:\Documents and Settings\Administrator>netstat -a  -n

Active Connections

 Proto  Local Address          Foreign Address        State
 TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
 TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
 TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING
 TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING
 TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING
 TCP    192.168.0.104:139      0.0.0.0:0              LISTENING
 TCP    192.168.0.104:3389     95.161.7.130:29495     ESTABLISHED
 UDP    0.0.0.0:445            *:*
 UDP    0.0.0.0:500            *:*
 UDP    0.0.0.0:4500           *:*
 UDP    127.0.0.1:123          *:*
 UDP    192.168.0.104:123      *:*
 UDP    192.168.0.104:137      *:*
 UDP    192.168.0.104:138      *:*

А на кой макар сервер слушает 139 порт?
24 FN
 
19.05.10
20:01
(23) читай http://www.windowsfaq.ru/content/view/326/61/1/1/
а вообще - сначала читай, потом только лезь делать -  а то сервер еще "положишь"