none
HELP ! Tempesta di tentativi di autenticazione + account bloccati (Event ID 675 - 539) RRS feed

  • Domanda

  • Ragazzi sono nella cacchina !

    Da questa mattina un server sbs 2003 ha iniziato a dare i numeri e bloccare gli account utente.

    Analizzando il registro degli eventi di protezione rilevo tonnellate di eventi 675, con sorgente tutti gli utenti, tipo questo:

    Tipo evento: Operazioni non riuscite - Origine evento: Security
    Categoria evento: Accesso account  - ID evento: 675
    Data:  01/10/2012 - Ora:  16.54.57
    Utente:  NT AUTHORITY\SYSTEM
    Computer: SERVER
    Descrizione: Preautenticazione non riuscita:
      Nome utente: elisa   ID utente: DOMINIO\elisa
      Nome servizio: krbtgt/DOMINIO.LOCAL
      Tipo preautenticazione: 0x2   Codice errore: 0x12-  Indirizzo client: 127.0.0.1

    Tanto per darvi un parametro, in tre secondi ci saranno decine di questo tipo di eventi per ogni utente.

    Dopo qualche minuto di questi eventi, mi ritrovo una raffica di eventi 680 (tentativo di accesso) e 529 (accesso non riuscito per password e/o utente sbagliato) dalle postazioni client.

    Dopo ancora un po, il 529 si trasforma in 539 (utente bloccato).

    La cosa che non capisco, però, è che gli utenti coinvolti in questi eventi non risultano bloccati se vado a verificarne le proprietà nello snapin di AD.

    Potete darmi qualche indicazione su cosa posso fare per venire a capo del problema ?

    Aggiornamento:

    Ho lanciato GMER sul server e mi ha indicato due servizi indicati come Rootkit (vedi img)

    Leggendo in giro, sembrerebbe che il processo sbcore sia attendibile (ma non capisco perchè è hidden).

    Mi ha insospettito di più l'altro processo (eanvr). Ho fatto un po' di controlli sul server ed ho notato una cosa strana nello snapin dei servizi.

    Ho notato due servizi con la descrizione identica ma con nomi diversi (vedi altra foto sotto)

    Mi puzza parecchio quello chiamato "Task Config" che sarebbe proprio quello che appare in Gmer.

    Che ne pensate ?

    • Modificato Aldo_ lunedì 1 ottobre 2012 17:17
    lunedì 1 ottobre 2012 15:53

Risposte

  • stacca l'sbs dalla rete, fagli una scansione offline con l'Avira Rescue Disk che trovi qui

    http://www.avira.com/en/download/product/avira-antivir-rescue-system

    e poi ne riparliamo.

    ne riparliamo PRIMA che tu cominci a riattaccare i clients all'sbs.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    • Contrassegnato come risposta Aldo_ mercoledì 3 ottobre 2012 23:00
    martedì 2 ottobre 2012 07:17
    Moderatore
  • stacca l'sbs dalla rete, fagli una scansione offline con l'Avira Rescue Disk che trovi qui

    http://www.avira.com/en/download/product/avira-antivir-rescue-system

    e poi ne riparliamo.

    ne riparliamo PRIMA che tu cominci a riattaccare i clients all'sbs.

    Giusto un paio di note; prima di tutto, in alternativa all'Avira rescue disk (o in aggiunta allo stesso... tutto sommato avere un "parere" in più non farà male) si potrebbe usare "Windows Defender Offline" di Microsoft che permette di creare un device autoavviante (CD o anche stick USB) da usare per la scansione e la pulizia del sistema; in secondo luogo, una volta completata la scansione/pulizia e PRIMA di ricollegare i clients, sarebbe opportuno procedere con l'aggiornamento del server SBS (windows update) ripetendo lo stesso sino a che tutti gli aggiornamenti "critici" o "raccomandati" non siano stati installati (e riavviando quando necessario tra i vari aggiornamenti); vedi, uno dei miei sospetti è che il "coso" possa essere arrivato sul server grazie ad una vulnerabilità non corretta, quindi installando gli updates potrebbe aiutare a mettere il sistema in sicurezza ... e comunque NON farà male :)

    • Contrassegnato come risposta Aldo_ mercoledì 3 ottobre 2012 23:00
    mercoledì 3 ottobre 2012 16:53
  • Sono assolutamente d'accordo con tutto quello che hai detto ObiWan, in particolare il passaggio relativo alla "visione globale" del problema.Anche io sono perfettamente coscente delle considerazioni che hai fatto ma, permettimi di spezzare (se possibile) una lancia in mio favore.

    Prima di tutto, scusa se sono stato "aggressivo", non stavo accusandoti di trascuratezza o altro ma, molto semplicemente, riferendomi ad alcune "situazioni vissute" ed a prassi (purtroppo) assodate

    Il sottoscritto si occupa di fare IT Management in outsource come , credo, molti di noi qua presenti.

    Beh... io no, per fortuna :) o meglio, non più

    Forse capita solo a me ma, nella maggior parte dei casi, i miei clienti quasi mai seguono di buon grado le indicazioni e le buone norme che consiglio e che vorrei implementare.

    Non sei solo, se la cosa può consolarti, però c'è da dire che al problema che lamenti c'è rimedio

    In questo caso specifico, è successo che il mio "caro" cliente ebbe una discussione con me diversi mesi fa, lamentando il fatto che lui non voleva aver bisogno dell'admin di rete per installare (per esempio) i programmi sul suo computer perchè : "il computer è mio, l'ho pagato con i miei soldi e non esiste che non posso farci quello che voglio e che devo dipendere da te".

    Un classico, beh, nessun problema, si mette giù, nero su bianco un bel documento nel quale dichiari che, stante il fatto che il cliente non vuole (o non può) adeguarsi alle policies da te suggerite e che garantirebbero un buon liv

    ello di sicurezza ed integrità dell'infrastuttura, tu non puoi assumerti la responsabilità di eventuali problemi relativi appunto a sicurezza/integrità e che, eventuali interventi in tal senso, andranno considerati "extra" e pagati a parte; quindi fai firmare il documento al cliente e lo lasci libero di fare tutti i pastrocchi che vuole, a quel punto se combina casini e vuole che tu li rimetta a posto PAGA (e tra l'altro NON può prendersela con te) :D

    Visto che il cliente è quello che paga e, per il momento, non posso ancora permettermi di mandarlo a quel paese (per non dire altro) ho concesso a lui i privilegi di admin locale del suo computer (e ovviamente anche alla figlia) avvisandolo , ovviamente, dei rischi a cui sarebbe andato incontro.Detto fatto.... :-)Ovviamente, adesso sostiene che il problema non è nato dal suo computer ma sicuramente da qualche pc dei dipendenti.

    Come sopra; ricordati che in questi casi è sempre meglio indossare "belt and suspenders" come dicono gli americani (ossia "cintura e bretelle") nel senso che è sempre meglio ripararsi le spalle con un bel pezzo di carta "robusto"

    • Contrassegnato come risposta Aldo_ mercoledì 10 ottobre 2012 21:07
    venerdì 5 ottobre 2012 16:13

Tutte le risposte

  • stacca l'sbs dalla rete, fagli una scansione offline con l'Avira Rescue Disk che trovi qui

    http://www.avira.com/en/download/product/avira-antivir-rescue-system

    e poi ne riparliamo.

    ne riparliamo PRIMA che tu cominci a riattaccare i clients all'sbs.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    • Contrassegnato come risposta Aldo_ mercoledì 3 ottobre 2012 23:00
    martedì 2 ottobre 2012 07:17
    Moderatore
  • stacca l'sbs dalla rete, fagli una scansione offline con l'Avira Rescue Disk che trovi qui

    http://www.avira.com/en/download/product/avira-antivir-rescue-system

    e poi ne riparliamo.

    ne riparliamo PRIMA che tu cominci a riattaccare i clients all'sbs.

    Giusto un paio di note; prima di tutto, in alternativa all'Avira rescue disk (o in aggiunta allo stesso... tutto sommato avere un "parere" in più non farà male) si potrebbe usare "Windows Defender Offline" di Microsoft che permette di creare un device autoavviante (CD o anche stick USB) da usare per la scansione e la pulizia del sistema; in secondo luogo, una volta completata la scansione/pulizia e PRIMA di ricollegare i clients, sarebbe opportuno procedere con l'aggiornamento del server SBS (windows update) ripetendo lo stesso sino a che tutti gli aggiornamenti "critici" o "raccomandati" non siano stati installati (e riavviando quando necessario tra i vari aggiornamenti); vedi, uno dei miei sospetti è che il "coso" possa essere arrivato sul server grazie ad una vulnerabilità non corretta, quindi installando gli updates potrebbe aiutare a mettere il sistema in sicurezza ... e comunque NON farà male :)

    • Contrassegnato come risposta Aldo_ mercoledì 3 ottobre 2012 23:00
    mercoledì 3 ottobre 2012 16:53
  • Innanzitutto voglio ringraziare Edoardo e Obiwan per le preziosissime informazioni.

    Dopo aver passato la nottata e la mattinata a fare lo spazzino delle reti, vi confermo di aver identificato sul server la presenza del worm Conficker che, con buona probabilità, è arrivato attraverso a qualche client compromesso e si è propagato su tutti i clienti con Windows XP (Vista e 7 non sono stati toccati).

    Dopo aver scannato uno per uno i client e ripuliti, ora sembra tutto a posto.

    In realtà vedo ancora alcuni eventi 672 e 673 con il NAS di rete come client sorgente ma non capisco bene se è normale.

    Poi vedo anche qualche tentativo di autenticazione da due client ma non con la frequenza come quando erano infetti.

    Comunque, li tengo d'occhio.... speriamo bene.

    Buona notte

    :-(

    mercoledì 3 ottobre 2012 23:10
  • grazie del feedback, ciao.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    giovedì 4 ottobre 2012 07:10
    Moderatore
  • Innanzitutto voglio ringraziare Edoardo e Obiwan per le preziosissime informazioni.


    Di nulla; vedi il discorso è semplice, se la tua rete (o il tuo PC ...) è infetta da malware, lo stesso genera del traffico verso internet e, normalmente, si tratta di attacchi di qualche tipo verso qualche altra rete/server, di spaming, di diffusione di malware o... altre "piacevolezze" del genere, ergo, mantenere reti e computers puliti, non è soltanto un qualcosa che riguarda chi viene "colpito" ma... tutti quanti :)

    Dopo aver passato la nottata e la mattinata a fare lo spazzino delle reti, vi confermo di aver identificato sul server la presenza del worm Conficker che, con buona probabilità, è arrivato attraverso a qualche client compromesso e si è propagato su tutti i clienti con Windows XP (Vista e 7 non sono stati toccati).

    Se c'è (o c'era... ma sospetto ci sia ancora) confiker o qualche sua "mutazione", credo proprio che PRIMA di tirare il fiato, potrebbe essere il caso di controllare più a fondo l'infrastuttura di rete; prima di tutto dato che il "coso" una volta attivato, scarica un tot di immondizia (malware) di vario genere ed "appesta" parecchie cose; in secondo luogo perchè se il "coso" è arrivato sulla rete senza essere riconosciuto, questo significa che le misure di sicurezza in atto sono insufficienti e quindi sarà opportuno rivederle a FONDO

    Dopo aver scannato uno per uno i client e ripuliti, ora sembra tutto a posto.



    In realtà vedo ancora alcuni eventi 672 e 673 con il NAS di rete come client sorgente ma non capisco bene se è normale.

    A prescindere dal fatto che la sanguinosa pratica di SCANNARE i clients mi sembra eccessiva (anche se in certi casi rappresenta l'unica soluzione) :D credo che la presenza di eventi come quelli sopra potrebbe indicare l'esistenza di un qualche "infection point" ancora attivo sulla rete e, secondo me, sarebbe il caso di controllare TUTTO per bene prima di cantar vittoria

    Poi vedo anche qualche tentativo di autenticazione da due client ma non con la frequenza come quando erano infetti.


    Comunque, li tengo d'occhio.... speriamo bene.

    Sperare non basta se devi gestire un'infrastuttura, è necessario avere la consapevolezza di aver fatto tutto il possibile, e questo include il capire COME tale malware sia entrato nell'infrastuttura e poi considerare come prevenire tale evento e, in qualsiasi caso, come minimizzarne gli effetti; in caso contrario... è inutile continuare a "reinfettarsi" quando, investendo un minimo di tempo, lo si potrebbe evitare.

    giovedì 4 ottobre 2012 13:16
  • Sono assolutamente d'accordo con tutto quello che hai detto ObiWan, in particolare il passaggio relativo alla "visione globale" del problema.

    Anche io sono perfettamente coscente delle considerazioni che hai fatto ma, permettimi di spezzare (se possibile) una lancia in mio favore.

    Il sottoscritto si occupa di fare IT Management in outsource come , credo, molti di noi qua presenti.

    Forse capita solo a me ma, nella maggior parte dei casi, i miei clienti quasi mai seguono di buon grado le indicazioni e le buone norme che consiglio e che vorrei implementare.

    In questo caso specifico, è successo che il mio "caro" cliente ebbe una discussione con me diversi mesi fa, lamentando il fatto che lui non voleva aver bisogno dell'admin di rete per installare (per esempio) i programmi sul suo computer perchè : "il computer è mio, l'ho pagato con i miei soldi e non esiste che non posso farci quello che voglio e che devo dipendere da te".

    Visto che il cliente è quello che paga e, per il momento, non posso ancora permettermi di mandarlo a quel paese (per non dire altro) ho concesso a lui i privilegi di admin locale del suo computer (e ovviamente anche alla figlia) avvisandolo , ovviamente, dei rischi a cui sarebbe andato incontro.

    Detto fatto.... :-)

    Ovviamente, adesso sostiene che il problema non è nato dal suo computer ma sicuramente da qualche pc dei dipendenti.

    Capito il personaggio... ?

    Ciao

    giovedì 4 ottobre 2012 13:39
  • Sono assolutamente d'accordo con tutto quello che hai detto ObiWan, in particolare il passaggio relativo alla "visione globale" del problema.Anche io sono perfettamente coscente delle considerazioni che hai fatto ma, permettimi di spezzare (se possibile) una lancia in mio favore.

    Prima di tutto, scusa se sono stato "aggressivo", non stavo accusandoti di trascuratezza o altro ma, molto semplicemente, riferendomi ad alcune "situazioni vissute" ed a prassi (purtroppo) assodate

    Il sottoscritto si occupa di fare IT Management in outsource come , credo, molti di noi qua presenti.

    Beh... io no, per fortuna :) o meglio, non più

    Forse capita solo a me ma, nella maggior parte dei casi, i miei clienti quasi mai seguono di buon grado le indicazioni e le buone norme che consiglio e che vorrei implementare.

    Non sei solo, se la cosa può consolarti, però c'è da dire che al problema che lamenti c'è rimedio

    In questo caso specifico, è successo che il mio "caro" cliente ebbe una discussione con me diversi mesi fa, lamentando il fatto che lui non voleva aver bisogno dell'admin di rete per installare (per esempio) i programmi sul suo computer perchè : "il computer è mio, l'ho pagato con i miei soldi e non esiste che non posso farci quello che voglio e che devo dipendere da te".

    Un classico, beh, nessun problema, si mette giù, nero su bianco un bel documento nel quale dichiari che, stante il fatto che il cliente non vuole (o non può) adeguarsi alle policies da te suggerite e che garantirebbero un buon liv

    ello di sicurezza ed integrità dell'infrastuttura, tu non puoi assumerti la responsabilità di eventuali problemi relativi appunto a sicurezza/integrità e che, eventuali interventi in tal senso, andranno considerati "extra" e pagati a parte; quindi fai firmare il documento al cliente e lo lasci libero di fare tutti i pastrocchi che vuole, a quel punto se combina casini e vuole che tu li rimetta a posto PAGA (e tra l'altro NON può prendersela con te) :D

    Visto che il cliente è quello che paga e, per il momento, non posso ancora permettermi di mandarlo a quel paese (per non dire altro) ho concesso a lui i privilegi di admin locale del suo computer (e ovviamente anche alla figlia) avvisandolo , ovviamente, dei rischi a cui sarebbe andato incontro.Detto fatto.... :-)Ovviamente, adesso sostiene che il problema non è nato dal suo computer ma sicuramente da qualche pc dei dipendenti.

    Come sopra; ricordati che in questi casi è sempre meglio indossare "belt and suspenders" come dicono gli americani (ossia "cintura e bretelle") nel senso che è sempre meglio ripararsi le spalle con un bel pezzo di carta "robusto"

    • Contrassegnato come risposta Aldo_ mercoledì 10 ottobre 2012 21:07
    venerdì 5 ottobre 2012 16:13
  • Ciao ObiWan.

    Scusa il ritardo nella risposa ma sono stato parecchio preso con il lavoro.

    Innanzitutto voglio dirti che ho compreso perfettamente il senso del tuo post e, anzi, ti ringrazio per la solidarietà e per le dritte che mi hai dato.

    Chiedo scusa anche a voi per lo sfogo ma ero veramente parecchio incacchiato per aver perso tutto 'sto tempo dietro ad un deficente di cliente.

    Io vorrei fare dell'altro anzichè lo spazzino delle reti...

    Buona serata a tutti

    mercoledì 10 ottobre 2012 21:07