Странные действия при входе администратора в журналы событий
На одном из наших общедоступных серверов учетная запись администратора вошла в систему в 6:45 по Гринвичу. Это не был сотрудник.
Подробности из журналов событий
1st event
Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon account: Administrator
2nd event
Logon attempt using explicit credentials:
Logged on user:
User Name: S15252541$
Domain: WGS15252973
Logon ID: (0x0,0x3E7)
Logon GUID: -
User whose credentials were used:
Target User Name: Administrator
Target Domain: S15252541
Target Logon GUID: -
Target Server Name: localhost
3rd event
Successful Logon:
User Name: Administrator
Domain: S15252541
Logon ID: (0x0,0x73837CF)
Logon Type: 4
Logon Process: Advapi
Authentication Package: Negotiate
Workstation Name: S15252541
Logon GUID: -
Caller User Name: S15252541$
Caller Domain: WGS15252541
4th event
Special privileges assigned to new logon:
User Name: Administrator
Domain: S15252541
Logon ID: (0x0,0x73837CF)
Privileges: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
5th event
User Logoff:
User Name: Administrator
Domain: S15252541
Logon ID: (0x0,0x73837CF)
Logon Type: 4
Я изменил пароль администратора в качестве меры предосторожности, что мне делать еще или я постоянно волнуюсь?
p.s. Это не первоапрельские дураки
Посмотри на этот вопрос по обмену стеком безопасности. Это дает хорошее руководство.
Общий совет - предположить, что он скомпрометирован, так как злоумышленник мог стереть журналы, установить бэкдоры и т. Д., Поэтому отключите его, подумайте, планируете ли вы провести судебно-медицинский анализ, и если да, то взять копию, стереть ее и восстановить из резервных копий.