Здравствуйте! Периодически блокируется учётка администратора домена в системном журнале рабочей станции при этом сообщение:
Система безопасности обнаружила попытку атаки для понижения роли сервера cifs/10.185.1.3. Полученный от протокола проверки подлинности Kerberos код ошибки: "Учетная запись пользователя автоматически заблокирована из-за превышения числа неудачных попыток входа в систему или запросов на изменение пароля. (0xc0000234)".
В журналах на DC ничего нет в это время - хотя весь аудит включен.
На машине работает симантек эндпойнт - но ниченго не ловил.
CureIt в защищённом режиме ничего не нашёл кроме обычных radmina и dameware - но я на всякий случай удалил их...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ребята, ответьте что нибудь, пожалуйста. Я понимаю что скорее всего на моей машине ничего нет. Но это кто-то ломает с другой машины. Что искать посоветуйте?
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Удалите SUPERAntiSpyware.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Последний раз редактировалось Rene-gad; 06.11.2009 в 17:12.
Причина: script revised
Здравствуйте. Отослал карантин по первому скрипту от PavelA. Вчера была найдена машина с которой производятся попытки входа в сеть под именем блокируемой учётки. Это компьютер корпоративной сети в другом городе. Логины идут оттуда как пулемётными очередями.
Добавлено через 47 минут
Здравствуйте! Отослал карантин по второму скрипту от rene-gad. Скрипт был с ошибкой в 9-й строке - to many parameters - убрал два последних параметра и функция сработала.
Последний раз редактировалось tim12; 06.11.2009 в 06:01.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: