У меня происходит что-то странное на сервере Windows Server 2008 R2.
Каждый день ровно в 21:00 в средстве просмотра событий регистрируется сбой аудита, в котором говорится, что учетная запись не смогла войти в систему по причине «Неизвестное имя пользователя или неверный пароль». Странная часть заключается в том, что имя учетной записи представляет собой строку из 161 символа, начинающуюся с @@, а остальное - это, казалось бы, случайная строка символов. Это имя одно и то же каждый день. Кажется, это идет локально с сервера. Тип входа - 4, процесс вызывающего абонента - svchost, а в разделе «Подробная информация аутентификации» - процесс входа в систему Advapi, а пакет аутентификации - согласование. Есть идеи, откуда это могло прийти? Любой другой соответствующей информации я не предоставил?
Как оказалось, это была запланированная задача резервного копирования, которая не запускалась. Видимо, в какой-то момент был включен параметр групповой политики «Доступ к сети: не разрешать хранение учетных данных или паспортов .NET для сетевой аутентификации». Это не позволяло сохранять учетные данные для использования с запланированной задачей, как показано в сообщении об ошибке:
Позже был проведен быстрый поиск в Google, и причина была обнаружена. Мне удалось указать учетные данные в планировщике задач, и завтра утром я посмотрю, решена ли проблема. По-прежнему не знаю, откуда "@@ CyBAAAAUBQYAMHArBwUAMGAoBQZAQGA1BAbAUGAyBgOAQFAhBwcAsGA6AweAkDA0AAOAEEA5AQQAIEABBQLAEDABBAOAEDAtAANAEEAFBwQAEDAAMAADAAMA0, надеюсь, больше не важно." Спасибо за вашу помощь!
Моя первая склонность заключается в том, что это было вызвано запланированной задачей, которая выполнялась под учетной записью пользователя Active Directory, которая была отключена или удалена, однако, похоже, это может иметь более зловещее происхождение.
Адвапи является частью пакета вредоносных программ BKDR_NETDEVIL.12, поэтому вполне вероятно, что ваш сервер скомпрометированный.