Windows 2003 Server Active directory, Постоянная блокировка пользователей + Аудит отказа

@Wikly · Регистрация: 16.07.2010

Студворк — интернет-сервис помощи студентам

Доброго всем времени суток, Уважаемые спецы.

Приключилась следующая ситуация в нашей организации:

Имеется:
парк ПК 350 штук.
Сервер AD на Windows server 2003 SP 2
Доступ в инет через Маршрутизатор.

С недавнего времени начали происходить непонятные вещи, а именно начали массово блокироваться учетные записи пользователей в AD.

На сервере, в журнале безопасности, стали появляться огромное количество записей "Аудит Отказа" такого содержания:

Code
1
2
3
4
Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: Ї®«м§®ў вҐ«Ґ©
Исходная рабочая станция:
Код ошибки: 0xC0000064

Есть подозрение что в сети завёлся вирус который сканит сеть и пытается брутфорсить подключенные ПК.

Подскажите пожалуйста знающие люди, каким образом можно вычисли откуда приходят запросы авторизации.

PS. Со вчерашнего вечера, в журнал безопасности вообще перестали записываться ВСЕ действия и аудит отказов и аудит успехов.

Заранее всем откликнувшимся - СПАСИБО!

@Wikly · 05.08.2020, 20:42 **[ТС]**

Проблема решена. Вирус найден. Рабочих станций оказалось довольно много.
Вирус, на зараженных РС, сидит по пути: C:\windows\temp\svchost.exe
Постоянно сканит сеть и брутит все найденные РС.
использует уязвимость MS17-010 (445 порт). Закрыть можно соответствующим обновлением безопасности.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .	Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .	Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .

@Wikly 1 / 1 / 1 Регистрация: 16.07.2010 Сообщений: 22
	05.08.2020, 20:42 [ТС]
	Сообщение было отмечено kumehtar как решение Решение Проблема решена. Вирус найден. Рабочих станций оказалось довольно много. Вирус, на зараженных РС, сидит по пути: C:\windows\temp\svchost.exe Постоянно сканит сеть и брутит все найденные РС. использует уязвимость MS17-010 (445 порт). Закрыть можно соответствующим обновлением безопасности. 0

Windows 2003 Server Active directory, Постоянная блокировка пользователей + Аудит отказа

Решение