amarao (amarao_san) wrote,
amarao
amarao_san

Более подробно об атаке.

Началась примерно в час дня: с одной из машин домена со скоростью примерно 10 паролей в секунду начались перебираться пароли реально существующих учётных записей. Через некоторое (большое) количество попыток учётные записи блокировались (в их числе была и моя, и моего помошника, и даже одна из моих запасных учётных записей с правами enterprise administrator). Надо сказать, одну из резервных учётных записей (заныканную в OU с компьютерами) не нашли.

Перебирались пароли даже от служебных учётных записей (OU Services), где, например, была учётная запись от IIS на DC.

Через некоторое время атака (самопроизвольно?) прекратилась. Вероятнее всего, ребутнули компьютер.

cureit'овская проверка ничего не нашла. Сейчас будет использован свежий AVZ и KAV'овский триал.

Я подозревал некоторый файл, но он оказался кривым драйверо-сервисом от китайцев.

Загадка пока не решена, а у меня появилось несколько вопросов:

1) Что лучше - блокированная учётная запись или отсутствие ограничений на число попыток перебора паролей?
2) Есть ли в Windows Server средство для блокировки не учётной записи (с которой попытка подобора пароля), а IP-адреса, с которого слишком много ошибочных попыток?
Tags: active directory, windows server, администрирование, безопасность
Subscribe

  • systemd-networkd, netlink и arp флуд

    Нереально странный баг пофикшен с помощью eBPF затычки. Для меня большой неожиданностью является реакция на него.…

  • Rust soundness

    Каждый раз, когда я сталкиваюсь с маленькими "но" в Rust'е, это ощущение тщательной продуманности. Например, простейшие fold-функции для итераторов:…

  • still_ntp

    В ходе локального мозгового штурма у меня родилась суперидея. Надо написать ntp сервер, который может отдавать указанную дату. Т.е. сказали при…

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 13 comments

  • systemd-networkd, netlink и arp флуд

    Нереально странный баг пофикшен с помощью eBPF затычки. Для меня большой неожиданностью является реакция на него.…

  • Rust soundness

    Каждый раз, когда я сталкиваюсь с маленькими "но" в Rust'е, это ощущение тщательной продуманности. Например, простейшие fold-функции для итераторов:…

  • still_ntp

    В ходе локального мозгового штурма у меня родилась суперидея. Надо написать ntp сервер, который может отдавать указанную дату. Т.е. сказали при…