Ломитcя на сервер RDP сетевые машины #481709

Стоит сервак 2003 терминальный(автоматическое обнавление включено) на нем 1С-ка крутиться 7-ка... Но это не особо важно. Я решил навести порядок и в журнале обноружил, что кто-то переодически по 10-14 раз на дню пытается залезть на машину ANONYMOUS LOGON. Решил поставит туда(дополнительно на сервер) фаервол, благо на RDP и с нета заходят. И тут возникла проблема что если фаеру не нравится что в него много лезу он зарубает ИП(даже локальный). Анализ лога выявил следующее: Event Type:    Success Audit Event Source:    Security Event Category:    Logon/Logoff Event ID:    540 Date:        12.05.2010 Time:        19:13:06 User:        NT AUTHORITYANONYMOUS LOGON Computer:    SP-1C-SERVER Description: Successful Network Logon:    User Name:        Domain:            Logon ID:        (0x0,0x2636577)    Logon Type:    3    Logon Process:    NtLmSsp    Authentication Package:    NTLM    Workstation Name:    USERXP-D1F93AE0    Logon GUID:    -    Caller User Name:    -    Caller Domain:    -    Caller Logon ID:    -    Caller Process ID: -    Transited Services: -    Source Network Address:    192.168.0.155    Source Port:    0 For more information, see Help and Support Center at . Пытаются залезть с локальных машин и притом с разных правда в сети их всего 6. Даже с моей собственной когда я на нем по RDP работаю или не работаю. Вывод вирус. Сканирование Вебом, каспером и авастом не чего не нашло. Что это может быть, кто знает? Заранее спасибо.

Блин пардон за орфографию. Не прочитал заголовок. Сервер RDP.

"И тут возникла проблема что если фаеру не нравится что в него много лезу он зарубает ИП(даже локальный)" поподробней что за фаерволл ? ты уверен что именно он зарубает ? может это просто у когото из юзверей настроен .rdp на анонима вот и ломиться при запуске, а потом просит ввестись и конектиться нормально ?

да и вообще у тебя в успешный аудит :)

А гость включен что-ле на сервере?

Не тупи, ANONYMOUS LOGON - это работа системной службы, а не анонимный вход пользователя.

гость на серваке не включен, нах он там нужен. тогда на кой макар он туда постоянно лезет с моего компа без моей просьбы. Вам лог журнала показать? И главное если выключить компы(все в офисе), то лезет постоянно с адреса 192.168.0.155(мой комп) AVS Firewall 2.1. Зарабует точно ОН, а автоматом создает правило на запрет ипа если на сервак ломиться.

Хорошо если это служба то какая может с другого компа лесть?

UP

так это а в чём проблема то? в том что на компах в сети работают разные службы сетевые и сервак успешно обрабатывает их запросы???

любая, которой надо влезть на сервер, начиная от dhcp или обеспечения принтеров, заканчивая попыткой всунуть в планировщик заданий на сервере, деструктивный скрипт.

+ Проверь на локальных машинках параметры обновления софта, походу оно и ломится, с антивирей начиная.

угу ато ещё бывает виндовс тайм разбушуется, и сервак положит...

netstat -a -n -b на локальной машине и смотреть, кто и куда пытается влезть. P.S. также можно посмотреть, как себя ведёт сервер, если у него запрашиваются сетевые ресурсы (а это именно Anonymous).

Спасибо! Буду смотреть. Отпишусь о результатах.

C:Documents and SettingsАдминистратор>netstat Активные подключения  Имя    Локальный адрес        Внешний адрес          Состояние  TCP    userxp-d1f93ae0:1145   192.168.0.104:netbios-ssn  TIME_WAIT  TCP    userxp-d1f93ae0:4888   95-161-7-130.broadband.spb.TiERA.org:32348  ESTA BLISHED

НЕТ БИОС...... Какого он на сервак стучится-то.....

Как отключить НЕТБИОС? Но мне нужно чтобы сетевые диски работали. Я понять не могу, службу отключил, в настройках на ТСП перевел.

>>Как отключить НЕТБИОС? В параметрах протокола TCP/IP, на вкладке "Дополнительно" только зачем? :):)

Жестокий админ...

или Админ - жесть?

Железный Админ 2 только на мисте уже в мае!

TCP    userxp-d1f93ae0:1145   192.168.0.104:netbios-ssn  TIME_WAIT 192.168.0.104 у меня сервер. Какого на него по нетюиосу постоянно стучаться?

C:Documents and SettingsAdministrator>netstat -a  -n Active Connections  Proto  Local Address          Foreign Address        State  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING  TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING  TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING  TCP    192.168.0.104:139      0.0.0.0:0              LISTENING  TCP    192.168.0.104:3389     95.161.7.130:29495     ESTABLISHED  UDP    0.0.0.0:445            *:*  UDP    0.0.0.0:500            *:*  UDP    0.0.0.0:4500           *:*  UDP    127.0.0.1:123          *:*  UDP    192.168.0.104:123      *:*  UDP    192.168.0.104:137      *:*  UDP    192.168.0.104:138      *:* А на кой макар сервер слушает 139 порт?

читай а вообще - сначала читай, потом только лезь делать -  а то сервер еще "положишь"