Comments | amarao_san: Более подробно об атаке.

amarao_san

Более подробно об атаке.

Apr 01, 2009 16:39

Началась примерно в час дня: с одной из машин домена со скоростью примерно 10 паролей в секунду начались перебираться пароли реально существующих учётных записей. Через некоторое (большое) количество попыток учётные записи блокировались (в их числе была и моя, и моего помошника, и даже одна из моих запасных учётных записей с правами enterprise ( Read more... )

администрирование, active directory, безопасность, windows server

Comments 13

ext_95147 April 1 2009, 14:02:12 UTC

Очень похож на Net-Worm.Win32.Kido.fx

Посмотри по его следам в системе http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782749

amarao_san April 1 2009, 14:19:51 UTC

http://www.3dnews.ru/software-news/setevoi_cherv_win32_hllw_shadow_based_ispolzuet_uyazvimosti_windows/

c8ne April 1 2009, 14:12:51 UTC

Блокирование учетной записи это дырка для DoS (в общем смысле этого слова) атаки (особенно весело блокировать админов). Я как-то слабо понимаю зачем это вообще нужно. ИМХО более правильная реакция, это экпоненциальное увеличения времени между попытками, но почему-то я такое видел только на веб-приложениях.

amarao_san April 1 2009, 14:21:09 UTC

Если бы учётные записи не были заблокированы, то мы бы даже не узнали о проблеме. Учётная запись блокируется на время (не на совсем) - это некое подобие экспоненциальной задержки.

c8ne April 6 2009, 11:42:23 UTC

Не блокировать. Критичные логи - в почту.

snownoise April 1 2009, 14:17:41 UTC

Для лечения kido (если это он, а похоже - у нас недавно была такая же фигня) есть микроутилитка, kkiller

cpcat April 1 2009, 19:01:32 UTC

А мне вот интересно - имеет ли он отношение к Бличу?

amarao_san April 1 2009, 19:03:48 UTC

чё?

cpcat April 1 2009, 19:05:31 UTC

http://bleach.wikia.com/wiki/Kido

Thread 7

zhirkow January 15 2012, 04:41:46 UTC

вантузятники как всегда соснули, бгг