Форум на Краснотурьинск.ру - Печатать страницу

У сервера в инет выставлен только порт 3389 RDP
Может ли злоумышленник подобрав учетку и пароль от пользователя без прав администратора создать на сервере учетку с правами администратора. Возможно ли это? Пароль от учетки админа не подобрать - он длинный 22 символа большими и маленькими и с цифрами.

Vitya записан в 30.08.2017 :: 21:21:48:

от пользователя без прав администратора создать на сервере учетку с правами администратора.

Не может

Я понимаю что не могут в теории, а на практике? Как то же сервер у меня сломали, создав учетку в правами администратора. От пользователей пароль могли подобрать, от администратора сомневаюсь.

Vitya записан в 31.08.2017 :: 16:20:05:

Как то же сервер у меня сломали, создав учетку в правами администратора. От пользователей пароль могли подобрать, от администратора сомневаюсь.

т.е. после взлома появился еще один логин? точно только RD наружу, может изнутри кто то порезвился?

@ Vitya

Обновления все стоят?

https://forum.antichat.ru/threads/251718/

К стати, а встроенная учетка "Администратор"была активирована или как? Если да то тогда возможно изнутри взломали.

Интересно чем все закончилось? Нашел лазейку хакера?

Лазейку пока не нашел.... Обновления стоят все...

Сегодня опять появилась учетка
В журнале безопасности
//-----------
Создана учетная запись пользователя.

Субъект:
Идентификатор безопасности: система
Имя учетной записи: SERVER12$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3e7

Новая учетная запись:
Идентификатор безопасности: S-1-5-21-3062090820-4040319768-3569704698-1028
Имя учетной записи: Support
Домен учетной записи: SERVER12

Атрибуты:
Имя учетной записи SAM: Support
Отображаемое имя: <значение не задано>
Основное имя пользователя: -
Домашний каталог: <значение не задано>
Домашний диск: <значение не задано>
Путь к сценарию: <значение не задано>
Путь к профилю: <значение не задано>
Рабочие станции пользователя: <значение не задано>
Последний пароль задан: <никогда>
Срок действия учетной записи истекает: <никогда>
Идентификатор основной группы: 513
Разрешено делегировать: -
Старое значение UAC: 0x0
Новое значение UAC: 0x15
Управление учетной записью пользователя:
Учетная запись отключена
"Пароль не требуется" - включено
"Обычная учетная запись" - включено
Параметры пользователя: <значение не задано>
Журнал SID: -
Часы входа: Все

Дополнительные сведения:
Privileges -
//----------
Как она добавляется???!!!???

Из разряда предположений... При повреждении учетной записи... винда сама создает новую учетку...

Черт ее знает, может быть, хотя .... вообщем я о таком не читал.

Левую учетку винда в случае повреждения точно делает... просто не знаю создается пользователь с каким именем...

С.ка ...опять создалась! Причем сама добавила в "Администраторы"
Какой такой домен "Builtin"?
домены не подняты.
//-------------
Добавлен член локальной группы с включенной безопасностью.

Субъект:
Идентификатор безопасности: система
Имя учетной записи: SERVER12$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3e7

Член:
Идентификатор безопасности: SERVER12\Support
Имя учетной записи: -

Группа:
Идентификатор безопасности: BUILTIN\Пользователи удаленного рабочего стола
Имя группы: Пользователи удаленного рабочего стола
Домен группы: Builtin

Дополнительные сведения:
Привилегии: -
//------------

//-----------
Добавлен член локальной группы с включенной безопасностью.

Субъект:
Идентификатор безопасности: система
Имя учетной записи: SERVER12$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3e7

Член:
Идентификатор безопасности: SERVER12\Support
Имя учетной записи: -

Группа:
Идентификатор безопасности: BUILTIN\Администраторы
Имя группы: Администраторы
Домен группы: Builtin

Дополнительные сведения:
Привилегии: -
//--------
Добавлен член локальной группы с включенной безопасностью.

Субъект:
Идентификатор безопасности: система
Имя учетной записи: SERVER12$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3e7

Член:
Идентификатор безопасности: SERVER12\Support
Имя учетной записи: -

Группа:
Идентификатор безопасности: BUILTIN\Пользователи
Имя группы: Пользователи
Домен группы: Builtin

Дополнительные сведения:
Привилегии: -
//--------

//----------
Создана учетная запись пользователя.

Субъект:
Идентификатор безопасности: система
Имя учетной записи: SERVER12$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3e7

Новая учетная запись:
Идентификатор безопасности: SERVER12\Support
Имя учетной записи: Support
Домен учетной записи: SERVER12

Атрибуты:
Имя учетной записи SAM: Support
Отображаемое имя: <значение не задано>
Основное имя пользователя: -
Домашний каталог: <значение не задано>
Домашний диск: <значение не задано>
Путь к сценарию: <значение не задано>
Путь к профилю: <значение не задано>
Рабочие станции пользователя: <значение не задано>
Последний пароль задан: <никогда>
Срок действия учетной записи истекает: <никогда>
Идентификатор основной группы: 513
Разрешено делегировать: -
Старое значение UAC: 0x0
Новое значение UAC: 0x15
Управление учетной записью пользователя:
Учетная запись отключена
"Пароль не требуется" - включено
"Обычная учетная запись" - включено
Параметры пользователя: <значение не задано>
Журнал SID: -
Часы входа: Все

Дополнительные сведения:
Privileges -
//----------

//-----------
Добавлен член глобальной группы с включенной безопасностью.

Субъект:
Идентификатор безопасности: система
Имя учетной записи: SERVER12$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3e7

Член:
Идентификатор безопасности: SERVER12\Support
Имя учетной записи: -

Группа:
Идентификатор безопасности: SERVER12\None
Имя группы: None
Домен группы: SERVER12

Дополнительные сведения:
Привилегии: -
//--------

Какое интересное задание нашел, по времени совпадает с созданием учетки. При этом гугловского на сервере ни чего не ставилось.

@ Vitya

По времени запуск задания и создание учетки совпадают?

Гугло-апдейт делается каждый день и гугло-файлы не лежат в папке windows. Скорми этот файл антивирусам.

Дистрибутив винды где брал?

Alex записан в 07.09.2017 :: 13:28:39:

1. я же писал - по времени совподает.
2. антивирь молчит (NOD32), могу, кому интересно, запаковать файл с паролем и на почту для анализа выслать.
3. да как бы лицензия коробочная.

Результат.

/cgi-bin/yabb2/YaBB.pl?action=downloadfile;file=fajl.JPG (10 KB | 124 )

/cgi-bin/yabb2/YaBB.pl?action=downloadfile;file=veb.JPG (69 KB | 125 )

/cgi-bin/yabb2/YaBB.pl?action=downloadfile;file=kasper.JPG (63 KB | 118 )

/cgi-bin/yabb2/YaBB.pl?action=downloadfile;file=virus--.JPG (63 KB | 118 )

Форум на Краснотурьинск.ру
/cgi-bin/yabb2/YaBB.pl Технический >> Программное обеспечение >> Windows 2008 Standart R2 и учетка с правами администратора... /cgi-bin/yabb2/YaBB.pl?num=1504110108 Сообщение написано Vitya в 30.08.2017 :: 21:21:48