Надеюсь, ты сможешь помочь. Мы заметили, что локальный компьютер другого пользователя создает записи для входа в систему просмотра событий на нашем компьютере.
Получено сообщение «Учетная запись успешно вошла в систему».
Подробности попытки входа в систему представлены ниже (анонимно):
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: OURDOMAN\SUSPICIOUSID$
Account Name: SUSPICIOUSID$
Account Domain: OURDOMAIN
Logon ID: 0x8276c3c
Logon GUID: {ef03e93f-a27b-c304-92ce-3b244723ccc4}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name:
Source Network Address: IPAddress1
Source Port: 55666
Я попытался подобрать это, используя пакетный скрипт и psfile, но он ничего не улавливает во время входа в систему. Он срабатывает, если кто-то другой выступает администратором, когда мы его тестируем.
Сценарий файла BAtch:
:Start
@echo off
setlocal enabledelayedexpansion
set theValue=x
cd c:/pstools
for /f "delims=" %%a in ('psfile.exe \\MyMachine') do @set theValue=!theValue! %%a
IF not "%theValue%"=="x No files opened remotely on MyMachine." ( echo %theValue%>>c:/psfileoutput/psfileoutput.txt ) else ( echo "no values" )
timeout 0
Goto Start
Я бы подумал, что успешный вход в систему приведет к какому-то доступу к файлам.
Есть ли у кого-нибудь идеи, что это может быть за вход?
Спасибо
ОБНОВИТЬ:
ОБНОВЛЕНИЕ: Наконец-то получил успех с моим пакетным скриптом:
x Files opened remotely on MyMachine: [183] \srvsvc User: SuspiciousID$ Locks: 0 Access: Read Write
Успешный вход в систему ни в коем случае не гарантирует доступ к файлу, простое подключение к admin $ будет отображаться как событие входа в систему, но не вносит изменений на уровне файла.
Трудно сказать, в чем заключается ваша проблема. Быстрый поиск порта в Google показывает несколько сайтов, на которых указан троян с именем Latinus, который, как было замечено, использовал этот порт совсем недавно. Я лично проверил бы другую машину на предмет заражения.
http://www.speedguide.net/port.php?port=55666
Если у вас есть доступ к другому компьютеру, просматривайте журналы событий приложений или безопасности в то время, когда вы видите события на своем компьютере. вы можете увидеть больше информации о том, какой процесс пытается подключиться.
Аутентификация и авторизация - это две разные концепции. Первый в основном проверяет учетные данные для входа в систему, а второй - проверяет, на какой доступ имеет право пользователь.
\srvsvc не файл, это так называемый «именованный канал», который в основном используется как механизм для перечисления общих ресурсов, предоставляемых файловым сервером, - что и происходит, когда файловый сервер вызывается в проводнике Windows (т.е. вы вводите \\server в адресной строке) или по net view \\server запрос. В качестве учетной записи вашей машины ПОДОЗРИТЕЛЬНЫЙ $ является членом АУТЕНТИЧНЫЕ ПОЛЬЗОВАТЕЛИ встроенная группа, она имеет право использовать \srvsvc по умолчанию для перечисления общих ресурсов для всех членов домена. Это не означает, что он может получить доступ к любому из перечисленных общих ресурсов или файлам в нем.