Проблема произошла на Windows server 2008 R2. Я заметил что кто то поменял пароль Администратора, но кроме меня туда ни кто не ходит. Войдя через пользователя и пытаясь что-нибудь сделать на сервере при аутентификации появились еще пользователи: Administrator, Sqlmanager, 1спрограммист, продавец, но при этом в папке Пользователи на диске С их нету. Проверка на вирусы ничего не дала. В чем дела не могу понять.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) kiu86, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Сделайте логи по правилам.
+ дополнительно логи RSIT.
WBR,
Vadim
Вот в этом и проблема. пароль админа сменился все что описано в правилах оформления неработает.
Проблема, видимо, всё-таки организационная. Судя по именам новых пользователей, вряд ли сервер был взломан, чтобы на нём установить что-то стороннее, связанное с 1С. Подумайте, поспрашивайте, кто туда ещё мог зайти под администраторской учёткой. Всяко бывает, у меня один знакомый, удалённо администрировавший сервер, в похожей ситуации с удивлением узнал, что больше он на ту фирму не работает...
Если всё-таки взлом - есть средства, позволяющие сбросить пароль администратора. Kon-Boot, например.
И лог Rsit попробуйте сделать, и под обычным пользователем может получиться.
WBR,
Vadim
Я тоже так думал, но есть ряд причин которые меня в этом разубедили:
1. Это все произошло в течении полугода в организация не связанных между собой никаким образом кроме как мной.
2. 1С программисты у них разные тоже между собой не связанные.
3. На одном предприятии ( на котором я сбрасывал пароль) такое уже повторилось в пятницу на прошлой неделе (собираюсь к ним на этой неделе). На данном предприятии бухгалтера клянутся что к серверу никто не подходил а новый пароль админа я никому не давал.
4. ОС серверные и каспер лицензионный на всех.
5. Проверка LIVE версией каспера ничего не показало.
6. Мне это самому делать совесть не позволяет.
Удалённый доступ к серверу есть? Заходите (заходили) на него из дома? Тогда стоит свой компьютер проверить, возможно, кейлоггер или шпион сидит.
WBR,
Vadim
дома и на работе проверил каспером, все чисто.Когда первый сервак поменял пароль я в отпуске был и доступ в нему не имел. С Вами по аське или скайпу списаться можна?
Последний раз редактировалось kiu86; 03.09.2013 в 17:51.
Пока попробуйте сбросить пароль администратора. Ищите, например, Hiren's BootCD, в его состав входит достаточно средств для этого, тот же Kon-Boot. Будут проблемы/вопросы - дайте знать.
WBR,
Vadim
Уважаемый(ая) kiu86, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
