В корпоративной версии Windows Server 2008 ничего не изменилось, но в последнее время появилось много csrss.exe, LogonUI.exe, svchost.exe и winlogon.exe процессы в диспетчере задач.
Означает ли это, что некоторые удаленные сеансы активны (сервер скомпрометирован) или что?
РЕДАКТИРОВАТЬ:
Я проверил журналы событий и, похоже, кто-то пытается войти в систему с Administrator пользователь. Кажется, это автоматизированный инструмент. Как я могу защитить (заблокировать хакерский IP ...)?
Вот журнал:
An account failed to log on.
...
Logon Type: 10
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Administrator
Account Domain: ...
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: ...
Sub Status: ...
Process Information:
Caller Process ID: ...
Caller Process Name: C:\Windows\System32\winlogon.exe
Network Information:
Workstation Name: ...
Source Network Address: ...
Source Port: ...
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
...
Тип входа 10 - это удаленный интерактивный вход, то есть кто-то пытается войти в систему через RDP. Разрешаете ли вы RDP-подключения к серверу через брандмауэр?
Многие службы Windows используют svchost.exe. Вы можете заглянуть в свой узел services.msc, чтобы увидеть их. Просто дважды щелкните некоторые службы, такие как клиент dhcp или клиент DNS, чтобы увидеть исполняемый файл, который Windows запустит для службы. Если вас беспокоят службы терминалов или подключения к удаленному рабочему столу, вы можете перейти на вкладку «Пользователи» в диспетчере задач, чтобы узнать, вошел ли в систему кто-то в данный момент. Конечно, это работает только для удаленных инструментов Microsoft.