none
подскажите идеи--не могу узнать источник блокировки учеток. Что еще можно предпринять RRS feed

  • Вопрос

  • Друг попросил помощи
    и я в тупике
    Есть домен в мультидоменной среде
    dc1,dc2-windows server 2008 r2 sp1
    dc3-windows server 2003 sp2(должен будет отработать еще пару месяцев)
    dc1-pdc,rid
    dc2-infra
    dc3-ролей не несет
    Остальные роли в корневом домене
    Ситуация такая
    каждый день последние три дня начали блокироватся учетки
    с кодом 0x00006a
    Блокируются не все учетки, а некоторые, все на PDC эмуляторе
    код блокировки 0x00006a-неправильный ввод пароля
    C какой рабочей станции не показывает, пароль не просрочен, не менялся, зачастую, юзеров на роботе в это время нет 100
    Пароль неправильно вводится раз в 5-15 минут и это продолжается часть дня. Как будто идет подбор
    Аудит включен и вот, что показывает нетврикс, например

    Учетки блокируются прямо на контроллере PDC эмуляторе, с какой рабочей станции не видно(!)
    Везде антивири имеются. Пишет microsoft autentification package 1.0
    а рабочую станцию не пишет в событии. Если блокирую на OWA например пользователя-четко пишет в событии с какой станции блокировка
    А здесь нет. Скриптов нет на PDC. Сегодня наблюдали за сервисной учеткой с помощью locaut tool. под этой учеткой никто 100% не заходит и пароль не менялся
    Раз в час блочилась, каждые 5-15 минут делался неверный ввод пароля, а источник не виден. Потом в середине дня перестала
    Что можно предпринять
    Вот пример отчета нетврикс
    Modified user 12.08.2017 1:27:29 RG\rg-DC1$ rg-dc1.rg.vesta.com  (источник блокировки)unknown \com\vesta\rg\rg\Users\Славкина Ольга Андреевна User Account Locked Out (details: rg-DC1)

    • Изменено PVDPVDPVD 22 августа 2017 г. 18:55
    22 августа 2017 г. 18:54

Ответы

  • Считая что вы проверили все на зловредов обычно причина тривиальна - что то смотрит в интернет и вас хакают перебором паролей. 

    Таким образом вопрос: что у вас смотрит в интернет. Найти и убрать за фавервол, поднять VPN если нужен доступ.

    Кстати, такая тема поднималась неоднократно: 

    https://social.technet.microsoft.com/Search/ru-RU/Technet?query=%D0%B1%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D0%BE%D0%B2%D0%BA%D0%B0%20%D1%83%D1%87%D0%B5%D1%82%D0%BD%D0%BE%D0%B9%20%D0%B7%D0%B0%D0%BF%D0%B8%D1%81%D0%B8&beta=0&ac=3#refinementChanges=&pageNumber=2&showMore=false

    Конкретный пример:

    https://social.technet.microsoft.com/Forums/ru-RU/ccb8ae12-72ad-4d9f-b0da-d4fde98cf526/-ad-win2008r2-?forum=ws2008r2ru


    This posting is provided "AS IS" with no warranties, and confers no rights.

    22 августа 2017 г. 20:20
    Модератор
  • Спасибо все нашли. Подробности писать не буду-но да, была забытая точка входа. Суки-китайцы. Атакуют с десятков тысяч ip. Всякие блокировщики отдыхают, так как один ip пробовал подключаться только раз в сутки. Это трындец, товарищи
    23 августа 2017 г. 11:29

Все ответы

  • Считая что вы проверили все на зловредов обычно причина тривиальна - что то смотрит в интернет и вас хакают перебором паролей. 

    Таким образом вопрос: что у вас смотрит в интернет. Найти и убрать за фавервол, поднять VPN если нужен доступ.

    Кстати, такая тема поднималась неоднократно: 

    https://social.technet.microsoft.com/Search/ru-RU/Technet?query=%D0%B1%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D0%BE%D0%B2%D0%BA%D0%B0%20%D1%83%D1%87%D0%B5%D1%82%D0%BD%D0%BE%D0%B9%20%D0%B7%D0%B0%D0%BF%D0%B8%D1%81%D0%B8&beta=0&ac=3#refinementChanges=&pageNumber=2&showMore=false

    Конкретный пример:

    https://social.technet.microsoft.com/Forums/ru-RU/ccb8ae12-72ad-4d9f-b0da-d4fde98cf526/-ad-win2008r2-?forum=ws2008r2ru


    This posting is provided "AS IS" with no warranties, and confers no rights.

    22 августа 2017 г. 20:20
    Модератор
  • ну тогда должна в качестве источника блокировки быть точка входа. пример с ова я приводил-там все четко видно

    23 августа 2017 г. 3:51
  • Спасибо все нашли. Подробности писать не буду-но да, была забытая точка входа. Суки-китайцы. Атакуют с десятков тысяч ip. Всякие блокировщики отдыхают, так как один ip пробовал подключаться только раз в сутки. Это трындец, товарищи
    23 августа 2017 г. 11:29
  • Спасибо все нашли. Подробности писать не буду-но да, была забытая точка входа. Суки-китайцы. Атакуют с десятков тысяч ip. Всякие блокировщики отдыхают, так как один ip пробовал подключаться только раз в сутки. Это трындец, товарищи
    Может конечно и китайцы, а может ваш сосед который ИП спуфит. Это тайна покрытая мраком. Так же надо подумать кто все же виноват: неизвестные атакующие или же админ открывший путь для атаки.

    This posting is provided "AS IS" with no warranties, and confers no rights.

    23 августа 2017 г. 16:22
    Модератор
  • Спасибо все нашли. Подробности писать не буду-но да, была забытая точка входа. Суки-китайцы. Атакуют с десятков тысяч ip. Всякие блокировщики отдыхают, так как один ip пробовал подключаться только раз в сутки. Это трындец, товарищи

    Может конечно и китайцы, а может ваш сосед который ИП спуфит. Это тайна покрытая мраком. Так же надо подумать кто все же виноват: неизвестные атакующие или же админ открывший путь для атаки.

    This posting is provided "AS IS" with no warranties, and confers no rights.

    Нет, китайцы-так как все ip китайские в ботнете, который атаковал. Админ, конечно, виноват, но он защищал от перебора. Но не от перебора ботнетом, когда с одного ip не более 1 раза в сутки стучится

    23 августа 2017 г. 16:33