none
log di accessi indesiderati da terminal RRS feed

  • Discussione generale

  • Ciao a tutti,

    durante le prove (vedi thread su client mac vs win) ho aperto con leggerezza la porta standard dell'rdp invece di piazzare una vpn.

    ora nei log, che controllavo per l'altra vicenda, mi trovo:

    Nome registro: Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational
    Origine:       Microsoft-Windows-TerminalServices-RemoteConnectionManager
    Data:          21/06/2012 03:05:10
    ID evento:     1149
    Categoria attività:Nessuna
    Livello:       Informazioni
    Parole chiave: 
    Utente:        SERVIZIO DI RETE
    Computer:      nome.dominio.local
    Descrizione:
    Servizi Desktop remoto: autenticazione utente eseguita:
    
    Utente: Administrator
    Dominio: 
    Indirizzo rete di origine: 97.65.165.9
    XML evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-TerminalServices-RemoteConnectionManager" Guid="{C76BAA63-AE81-421C-B425-340B4B24157F}" />
        <EventID>1149</EventID>
        <Version>0</Version>
        <Level>4</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x1000000000000000</Keywords>
        <TimeCreated SystemTime="2012-06-21T01:05:10.409168300Z" />
        <EventRecordID>10654</EventRecordID>
        <Correlation />
        <Execution ProcessID="4700" ThreadID="6660" />
        <Channel>Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational</Channel>
        <Computer>nome.dominio.local</Computer>
        <Security UserID="S-1-5-20" />
      </System>
      <UserData>
        <EventXML xmlns:auto-ns2="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS">
          <Param1>Administrator</Param1>
          <Param2>
          </Param2>
          <Param3>97.65.165.9</Param3>
        </EventXML>
      </UserData>
    </Event>

    Ma questo vuol dire che sono entrati  o no? perchè ci sono log di "successo" anche di account che non esistono (tipo john, bill, console blabla).

    Il server è su da poco e dovevo ancora abilitare il ban dopo x tentativi, comunque ho chiuso la porta per ora e sto mettendo la vpn.

    TIA,

    Andrea

    • Tipo modificato Anca Popa venerdì 29 giugno 2012 09:58 in attesa di ulteriori feedback
    venerdì 22 giugno 2012 07:26

Tutte le risposte

  • vuol dire che sono entrati.

    http://technet.microsoft.com/en-us/library/ee907328(v=ws.10).aspx

    non sapendo cosa possano aver "nascosto" all'interno del tuo server che ormai è compromesso, il consiglio è formattare e rifarlo.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    venerdì 22 giugno 2012 08:17
    Moderatore
  • Chiedo ulteriori lumi:

    - L'account Administrator non è raggiungibile da TS

    - L'account Administrator non ha password cambiata

    - L'account Administrator ha avuto 40 accessi uno di fila all'altro (a qualche secondo di distanza)

    - L'account Administrator ha una password di 8 caratteri complessa e in 40 tentativi l'hanno trovata?

    - Prima di provare con Administrator avevano provato con account che non esistono nel server (tipo sql, console, admin etc...)

    venerdì 22 giugno 2012 09:02
  • quale esito è stato registrato con source Microsoft-Windows-TerminalServices-RemoteConnectionManager quando hanno tantato di accede con utenti come sql, console, admin ?

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    venerdì 22 giugno 2012 10:04
    Moderatore
  • Nome registro: Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational
    Origine:       Microsoft-Windows-TerminalServices-RemoteConnectionManager
    Data:          18/06/2012 10:53:11
    ID evento:     1149
    Categoria attività:Nessuna
    Livello:       Informazioni
    Parole chiave: 
    Utente:        SERVIZIO DI RETE
    Computer:      nome.dominio.local
    Descrizione:
    Servizi Desktop remoto: autenticazione utente eseguita:
    
    Utente: Игорь
    Dominio: 
    Indirizzo rete di origine: 94.181.44.204
    XML evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-TerminalServices-RemoteConnectionManager" Guid="{C76BAA63-AE81-421C-B425-340B4B24157F}" />
        <EventID>1149</EventID>
        <Version>0</Version>
        <Level>4</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x1000000000000000</Keywords>
        <TimeCreated SystemTime="2012-06-18T08:53:11.732936200Z" />
        <EventRecordID>9334</EventRecordID>
        <Correlation />
        <Execution ProcessID="4700" ThreadID="5488" />
        <Channel>Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational</Channel>
        <Computer>nome.dominio.local</Computer>
        <Security UserID="S-1-5-20" />
      </System>
      <UserData>
        <EventXML xmlns:auto-ns2="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS">
          <Param1>Игорь</Param1>
          <Param2>
          </Param2>
          <Param3>94.181.44.204</Param3>
        </EventXML>
      </UserData>
    </Event>

    sempre lo stesso... questo è l'utente "Игорь"....

    venerdì 22 giugno 2012 10:13
  • altra cosa, a parte administrator nessuno degli altri nomi utenti reali è stato preso in considerazione.
    venerdì 22 giugno 2012 10:36
  • hai guardato anche nel security log ?

    hai l'auditing abilitato su questo server ?

    mi sembra di capire che, a parte gli eventi che hai riportato, tu non trovi nulla di strano su questo server, giusto ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    venerdì 22 giugno 2012 15:10
    Moderatore
  • Ciao Ser Wood,

    Non abbiamo ricevuto alcun aggiornamento e mi chiedevo se possiamo aiutarti ulteriormente o se il problema è stato risolto.

    Se così fosse ti saremmo grati di condividere la soluzione in questo spazio ricordandoti che altri membri della community potrebbero riscontrare comportamenti simili.

    Grazie in anticipo.

    Saluti,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    venerdì 29 giugno 2012 09:58