Windows Server 2003 疑似被Try密碼

winsv2k3 木馬蠕蟲

x29452340 2021-11-01 13:56:23 ‧ 1562 瀏覽

分享至

各位先進好
公司目前的ADDC是Windows server 2003 R2
日前一直有看到DC上的LOG有許多登入失敗的狀況
直到上個星期假期結束開始，LOG開始出現更多系統異常
DC上LOG開始會有SAM的Error LOG

然後異常登入的頻率開始快速的增多

上網搜尋了一下似乎是指向 W32.Randex.F 蠕蟲病毒
而主管的處理方式是先行使用防毒軟體掃描該DC
但是我去點開了LOG，看到TRY帳號的方式似乎主機部分滿奇怪的

先不論有沒有這名使用者
光是主機就很奇怪，Windows2016，我們內部似乎沒有該主機
而我們內部的DHCP也找不到該主機，另外甚至有沒有主機的LOG出現

想請問各位先進，我要開啟什麼才可以確認該LOG是從哪台主機登入的呢？

看更多先前的討論...收起先前的討論...

窮嘶發發發 iT邦高手 1 級 ‧ 2021-11-01 15:01:57 檢舉

Administrator 先更名吧，在系統原則內進行更名

DennisLu iT邦研究生 1 級 ‧ 2021-11-01 15:49:39 檢舉

檢查這台主機的防火牆設定是不是有對外開放裸奔。

事件檢視器真的找不到的話，從網路那部分找，有連線就會有網路連結，
如果你的設備能記錄到這塊。

如果他持續在產生log，就是持續發生中。
透過資源監視器網路部分或(netstat )來看到底是哪個IP在持續跟你連線。
2003可能沒有2008以後才比較完整的資源監視器
可能要透過其他手段(軟體)或是下 netstat 去追。