Windows 2003 Server Active directory, Постоянная блокировка пользователей + Аудит отказа

@Wikly · Регистрация: 16.07.2010

Доброго всем времени суток, Уважаемые спецы.

Приключилась следующая ситуация в нашей организации:

Имеется:
парк ПК 350 штук.
Сервер AD на Windows server 2003 SP 2
Доступ в инет через Маршрутизатор.

С недавнего времени начали происходить непонятные вещи, а именно начали массово блокироваться учетные записи пользователей в AD.

На сервере, в журнале безопасности, стали появляться огромное количество записей "Аудит Отказа" такого содержания:

Код

Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: Ї®«м§®ў вҐ«Ґ©
Исходная рабочая станция:
Код ошибки: 0xC0000064

Есть подозрение что в сети завёлся вирус который сканит сеть и пытается брутфорсить подключенные ПК.

Подскажите пожалуйста знающие люди, каким образом можно вычисли откуда приходят запросы авторизации.

PS. Со вчерашнего вечера, в журнал безопасности вообще перестали записываться ВСЕ действия и аудит отказов и аудит успехов.

Заранее всем откликнувшимся - СПАСИБО!

@Wikly · 05.08.2020, 20:42 **[ТС]**

Проблема решена. Вирус найден. Рабочих станций оказалось довольно много.
Вирус, на зараженных РС, сидит по пути: C:\windows\temp\svchost.exe
Постоянно сканит сеть и брутит все найденные РС.
использует уязвимость MS17-010 (445 порт). Закрыть можно соответствующим обновлением безопасности.

@Wikly 1 / 1 / 1 Регистрация: 16.07.2010 Сообщений: 21
		1
	Windows 2003 Server Active directory, Постоянная блокировка пользователей + Аудит отказа 30.07.2020, 13:57. Просмотров 822. Ответов 1 Метки нет (Все метки) Доброго всем времени суток, Уважаемые спецы. Приключилась следующая ситуация в нашей организации: Имеется: парк ПК 350 штук. Сервер AD на Windows server 2003 SP 2 Доступ в инет через Маршрутизатор. С недавнего времени начали происходить непонятные вещи, а именно начали массово блокироваться учетные записи пользователей в AD. На сервере, в журнале безопасности, стали появляться огромное количество записей "Аудит Отказа" такого содержания: Код Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Учетная запись входа: Ї®«м§®ў вҐ«Ґ© Исходная рабочая станция: Код ошибки: 0xC0000064 Есть подозрение что в сети завёлся вирус который сканит сеть и пытается брутфорсить подключенные ПК. Подскажите пожалуйста знающие люди, каким образом можно вычисли откуда приходят запросы авторизации. PS. Со вчерашнего вечера, в журнал безопасности вообще перестали записываться ВСЕ действия и аудит отказов и аудит успехов. Заранее всем откликнувшимся - СПАСИБО! 0

@Wikly 1 / 1 / 1 Регистрация: 16.07.2010 Сообщений: 21
	05.08.2020, 20:42 [ТС]	2
	Сообщение было отмечено kumehtar как решение Решение Проблема решена. Вирус найден. Рабочих станций оказалось довольно много. Вирус, на зараженных РС, сидит по пути: C:\windows\temp\svchost.exe Постоянно сканит сеть и брутит все найденные РС. использует уязвимость MS17-010 (445 порт). Закрыть можно соответствующим обновлением безопасности. 0

Опции темы

Windows 2003 Server Active directory, Постоянная блокировка пользователей + Аудит отказа

Решение