Переполнение журнала безопасности - Операционные системы M$

alsergeich · 16.05.2008, 13:48

Есть сеть. Все ПК В домене.
2 дня назад началось повальное переполнение журнала безопасности.
Некто пытается залогиниться на ПК из неизвестного домена, неизвестной машины, под логином которого несуществует.
пропинговал имя машины - выбросило в интернет на сайт shai.spb.ru
попробовал зайти на машины с которой по журналу пытались зайти - такой нету.
На локальных машинах вирусов нет. Сеть большая. К каждой машине подходить очишать журнал каждое утро нереально.
похоже на вирус.. как бы найти с какой машины? снифер какой поставить?
или что еще? чтоб хотя бы айпишик найти откуда попытки авторизации идут.

letitbe · 16.05.2008, 14:02

Цитата:

Сообщение от alsergeich

К каждой машине подходить очишать журнал каждое утро нереально

А и не надо. Сделай Group Policy. Например на OU Computers. Для этого нужно этот OU создать и впихнуть туда все компьютеры домена.
Смотреть в Computer Configuration -> Windows Setting -> Security Settings -> Event Log.
Там можно задать все параметры.
Для того, чтобы ответить на остальное, нужно знать, как у тебя устроена сеть.
Интересен момент: у тебя что, машины в локалке имеют реальные адреса?

alsergeich · 16.05.2008, 14:36

Тхнолог, который обслуживает ту сеть, говорит что он на локальных машинках пробовал выставлять "затирать старые события по необходимости" - не помогло. Размер журнала тоже пробовали увеличить.
GP это конечно вариант, но хотелось бы все-таки найти того кто ломитсо в мою сеть.. а то ведь раз раз и войдет куда не надо.
Насчет "у тебя что, машины в локалке имеют реальные адреса?". Мне не совсем понятен вопрос.. "реальные адреса" это как???

*Plague* · 16.05.2008, 14:46

Цитата:

Сообщение от alsergeich

"реальные адреса" это как???

реальные адреса - это адреса видимые из интернет, а не внутрение локальных сетей, которые за NAT'ом находятся. учите матчасть

alsergeich · 16.05.2008, 14:59

нет. там локальные адреса.

добавлено через 5 минут
тобишь внутреннии

letitbe · 17.05.2008, 14:52

Цитата:

Сообщение от alsergeich

нет. там локальные адреса.

Тогда вообще непонятно, каким образом в твою локальную сеть могут ломиться машины с чужими реальными адресами.
Вернее реально похоже на троян.
Сниффер - Wireshark
Далее - NMap - просканировать всю локальную сеть, и посмотреть, какие порты на машинах открыты.

16.05.2008, 13:48	# 1
alsergeich Junior Member Регистрация: 19.12.2005 Сообщения: 69	Переполнение журнала безопасности Есть сеть. Все ПК В домене. 2 дня назад началось повальное переполнение журнала безопасности. Некто пытается залогиниться на ПК из неизвестного домена, неизвестной машины, под логином которого несуществует. пропинговал имя машины - выбросило в интернет на сайт shai.spb.ru попробовал зайти на машины с которой по журналу пытались зайти - такой нету. На локальных машинах вирусов нет. Сеть большая. К каждой машине подходить очишать журнал каждое утро нереально. похоже на вирус.. как бы найти с какой машины? снифер какой поставить? или что еще? чтоб хотя бы айпишик найти откуда попытки авторизации идут.

16.05.2008, 14:36	# 3
alsergeich Junior Member Регистрация: 19.12.2005 Сообщения: 69	Тхнолог, который обслуживает ту сеть, говорит что он на локальных машинках пробовал выставлять "затирать старые события по необходимости" - не помогло. Размер журнала тоже пробовали увеличить. GP это конечно вариант, но хотелось бы все-таки найти того кто ломитсо в мою сеть.. а то ведь раз раз и войдет куда не надо. Насчет "у тебя что, машины в локалке имеют реальные адреса?". Мне не совсем понятен вопрос.. "реальные адреса" это как???

16.05.2008, 14:59	# 5
alsergeich Junior Member Регистрация: 19.12.2005 Сообщения: 69	нет. там локальные адреса. добавлено через 5 минут тобишь внутреннии