В моем домене у меня есть виртуальная машина, которая, как я вижу, неизвестный источник постоянно пытается аутентифицировать. Я могу остановить это, заблокировав порты RPC на локальном межсетевом экране виртуальной машины, но это доставляет мне массу неприятностей.

Когда я проверяю свой файл netlogon.log, это выглядит так для выхода администратора

11.11.29 13:47:32 [LOGON] [4100] КОМПАНИЯ: SamLogon: вход в транзитивную сеть (null)\ADMINISTRATOR from (через MyVirtualMachineHostname) Возвращает 0xC000006A 29.09 13:49:36 [LOGON] [5364] КОМПАНИЯ: SamLogon: вход в транзитивную сеть (null)\ADMINISTRATOR from (через MyVirtualMachineHostname) возвращает 0xC000006A 11/29 13:52:32 [LOGON] [6436] КОМПАНИЯ: SamLogon: вход в транзитивную сеть (null)\ администратор из WIN-L1JIA2E591R (via MyVirtualMachineHostname) Возвращает 0xC000006A 29.11. 13:52:40 [LOGON] [6436] КОМПАНИЯ: SamLogon: транзитивный сетевой вход в TRENDSALES\ Zucchini из «MyPCHostname» (через MyVirtualMachineHostname) возвращает 0xC000006A 11/29 14:02:34 ] [5364] КОМПАНИЯ: SamLogon: вход в транзитивную сеть (null)\ADMINISTRATOR from (через MyVirtualMachineHostname) возвращает 0xC000006A 11/29 14:04:16 [LOGON] [1216] КОМПАНИЯ: SamLogon: вход в транзитивную сеть (null)\ Администратор из WIN-L1JIA2E591R (через MyVirtualMachineHostname) возвращает 0xC000006A 29.11 14:14:34 [LOGON] [5364] COMPAN Y: SamLogon: вход в транзитивную сеть (null)\ADMINISTRATOR from (через MyVirtualMachineHostname) Возвращает 0xC000006A 29.11 14:16:02 [LOGON] [5364] COMPANY: SamLogon: вход в транзитивную сеть (null)\ администратор из WIN- L1JIA2E591R (через MyVirtualMachineHostname) возвращает 0xC000006A 29.11 14:18:11 [LOGON] [3628] КОМПАНИЯ: SamLogon: вход в транзитивную сеть (нуль)\ADMINISTRATOR из (через MyVirtualMachineHostname) возвращает 0xC000006:50 [29/29 LOGON] [5364] КОМПАНИЯ: SamLogon: вход в транзитивную сеть (null)\ Администратор из WIN-L1JIA2E591R (через MyVirtualMachineHostname) Возвращает 0xC000006A 11/29 14:33:47 [LOGON] [2244] КОМПАНИЯ: SamLogon: вход в транзитивную сеть (null)\ADMINISTRATOR from (через MyVirtualMachineHostname) Возвращает 0xC000006A 29.1137 14:41:41 [LOGON] [892] COMPANY: SamLogon: вход в транзитивную сеть (null)\ADMINISTRATOR из (через MyVirtualMachineHostname) возвращает 0xC 296 0006: 41: 18 [LOGON] [7012] КОМПАНИЯ: SamLogon: вход в транзитивную сеть (ноль)\ Adm Inistrator из WIN-L1JIA2E591R (через MyVirtualMachineHostname) возвращает 0xC000006A

Это также пытается большой диапазон случайных имен пользователей, похожих на это

29.11 14:28:12 [LOGON] [3884] КОМПАНИЯ: SamLogon: вход в транзитивную сеть (null)\RCSSupport из FreeRDP (через MyVirtualMachineHostname) возвращает 0xC0000064 11/29 14:28:16 [LOGON] [3884] COMPANY: SamLogon: вход в транзитивную сеть (null)\RCSSupport из FreeRDP (через MyVirtualMachineHostname) возвращает 0xC0000064 11/29 14:28:35 [LOGON] [7120] КОМПАНИЯ: SamLogon: вход в транзитивную сеть (null)\pos из FreeRDP (via MyVirtualMachineHostname) Возвращает 0xC0000064 11/29 14:28:47 [LOGON] [4436] КОМПАНИЯ: SamLogon: вход в транзитивную сеть (null)\pos из FreeRDP (через MyVirtualMachineHostname) возвращает 0xC0000064 11/30 11:53:04 [LOGON ] [3048] КОМПАНИЯ: SamLogon: вход в транзитивную сеть (null)\MSSQLSERVER from (через MyVirtualMachineHostname) возвращает 0xC0000064 11/30 11:54:19 [LOGON] [3048] КОМПАНИЯ: SamLogon: вход в транзитивную сеть (null)\IUSR_QA из (через MyVirtualMachineHostname) возвращает 0xC0000064

Как я узнаю, откуда идут эти попытки? Похоже, имя хоста подделывается?

Я также не уверен, является ли проблема вредоносной программой на компьютере «MyVirtualMachineHostname» или я ищу зараженный компьютер в моей сети.

|источник

1 ответ1

0

Сначала выясните, какие порты TCP (и / или UDP) используются. Я предполагаю, что TCP-порт 135, но я считаю, что RPC может быть сложным, возможно, с использованием других портов. Если ваш брандмауэр позволяет вам отключить эти порты, указав определенные правила, то посмотрите на эти правила, чтобы увидеть, какие порты задействованы.

Затем ищите активные соединения. Один из способов - через командную строку. Вот команды для традиционной командной строки:
netstat -na
netstat -na | find /i "135" | more
(Если вы используете PowerShell, вам необходимо поставить обратную галочку / кавычку перед каждым из этих кавычек.)

Другой способ: в Windows 10 (а может быть, уже в Vista?) Щелкните правой кнопкой мыши на панели задач и выберите "Диспетчер задач". На вкладке "Быстродействие" нажмите "Диспетчер ресурсов". (Или могут быть другие способы добраться до этого менеджера ресурсов.) Перейдите на вкладку Сеть и разверните раздел «TCP-соединения» (предпочтительно). Или, если задействован UDP, в разделе "Порты прослушивания" может быть больше информации.

Для этого нужно начать идентификацию IP-адреса злоумышленника. Получив это, вы не сможете получить больше информации, если не начнете взаимодействовать с этим компьютером. (Вам может потребоваться разрешение на этом компьютере, чтобы узнать больше.) Ну, вы могли бы получить больше информации, прослушивая сетевое соединение (например, с помощью TCPDump или более графического Wireshark), но вам лучше попробовать использовать эту машину (через клавиатуру или с помощью инструментов удаленного управления, таких как Управление компьютером или WMIC).

Если удаленный IP-адрес является шлейфом (начинается с «127.» для IPv4 или «::1» для IPv6), то, скорее всего, у вас будет две записи (одна для исходящего соединения и одна для принимающего соединения), В этом случае запустите netstat -nab из командной строки. Убедитесь, что командная строка повышена (если у вас включен UAC). Это даст вам PID, который можно использовать для определения, какая локальная программа используется. Для этого в командной строке с повышенными привилегиями используйте:

WMIC PROCESS GET Name,ProcessID /FORMAT:LIST

(Опять же, пользователи PowerShell ставят галочку, на этот раз перед запятой.) (Для получения дополнительной информации, пропустите часть «Имя, ProcessID».) Для определенного ProcessID/PID, например, 12345, вы можете использовать:

WMIC PROCESS GET Name,ProcessID /FORMAT:TABLE | FIND /I "12345"

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .