RAdmin - странный подбор паролей • Конференция Overclockers.ru

Overclockers.ru

Конференция

FAQ по конференции

Текущее время: 25.08.2025 8:20

Сообщения без ответов | Активные темы

Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа

RAdmin - странный подбор паролей

Новая тема /

Ответить

Сообщений: 8

	Пред. тема \| След. тема
В случае проблем с отображением форума, отключите блокировщик рекламы

Автор

Сообщение

BlackCatVL

Добавлено: 24.05.2011 13:37

[профиль]

Junior
Статус: Не в сети
Регистрация: 24.05.2011
Откуда: Владивосток

У нас большая корпоративная сеть - больше 1000 компьютеров в разных городах, разные сегменты сети. Программа удаленного доступа - это RAdmin 3.4. Как то раз, можно так сказать, спонтанно я залез в логи по RAdmin-у, который стоит у нас на серверах. И во всех логах есть какая то активность по подключениями с разных компьютеров с подбором паролей - 1, admin, microsoft, 123456 и другие...Либо человек какой то возомнил себя супер хакеров, либо вирусня? Логи могу завтра приложить - не секретная информация..
Как бы выяснить, с какого компьютера это? и что за программа? у кого какие соображения?

Реклама
Партнер

BlackCatVL

Добавлено: 25.05.2011 15:32

[профиль]

Junior
Статус: Не в сети
Регистрация: 24.05.2011
Откуда: Владивосток

Вот кусок лога по одному из серверу:

<4060> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) (1): Password is incorrect or error occurs
<4060> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) connection closed
<5504> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) (admin): Password is incorrect or error occurs
<5504> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) connection closed
<5968> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) (q): Password is incorrect or error occurs
<5968> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) connection closed
<4120> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) (123): Password is incorrect or error occurs
<4120> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) connection closed
<4788> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) (111111): Password is incorrect or error occurs
<4788> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) connection closed
<3664> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) (123456): Password is incorrect or error occurs
<3664> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) connection closed
<2660> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) (Admin): Password is incorrect or error occurs
<2660> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) connection closed
<1236> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) (administrator): Password is incorrect or error occurs
<1236> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) connection closed
<4400> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) (Administrator): Password is incorrect or error occurs
<4400> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) connection closed
<2696> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) (user): Password is incorrect or error occurs
<2696> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) connection closed
<4552> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) (User): Password is incorrect or error occurs
<4552> RServer3 2011.05.24 17:15 USR_USSW_23 (172.29.181.22) connection closed
<6008> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) ( ): Password is incorrect or error occurs
<6008> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) connection closed
<4852> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) (billgates): Password is incorrect or error occurs
<4852> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) connection closed
<2176> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) (a): Password is incorrect or error occurs
<2176> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) connection closed
<4816> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) (microsoft): Password is incorrect or error occurs
<4816> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) connection closed
<4924> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) (radmin): Password is incorrect or error occurs
<4924> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) connection closed
<4608> RServer3 2011.05.24 17:17 172.29.181.22 (internet): Password is incorrect or error occurs
<4608> RServer3 2011.05.24 17:17 172.29.181.22 connection closed
<2540> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) (host): Password is incorrect or error occurs
<2540> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) connection closed
<3892> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) (computer): Password is incorrect or error occurs
<3892> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) connection closed
<4928> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) (skynet): Password is incorrect or error occurs
<4928> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) connection closed
<2524> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) (login): Password is incorrect or error occurs
<2524> RServer3 2011.05.24 17:17 USR_USSW_23 (172.29.181.22) connection closed
<1316> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) (1): Password is incorrect or error occurs
<1316> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) connection closed
<1764> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) (admin): Password is incorrect or error occurs
<1764> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) connection closed
<976> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) (q): Password is incorrect or error occurs
<976> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) connection closed
<3256> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) (123): Password is incorrect or error occurs
<3256> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) connection closed
<4848> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) (111111): Password is incorrect or error occurs
<4848> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) connection closed
<4008> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) (123456): Password is incorrect or error occurs
<4008> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) connection closed
<4300> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) (Admin): Password is incorrect or error occurs
<4300> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) connection closed
<4924> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) (administrator): Password is incorrect or error occurs
<4924> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) connection closed
<4144> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) (Administrator): Password is incorrect or error occurs
<4144> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) connection closed
<5036> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) (user): Password is incorrect or error occurs
<5036> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) connection closed
<3700> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) (User): Password is incorrect or error occurs
<3700> RServer3 2011.05.24 19:31 CUSTOM-104012F2 (172.29.181.4) connection closed
<3572> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) ( ): Password is incorrect or error occurs
<3572> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) connection closed
<5156> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) (billgates): Password is incorrect or error occurs
<5156> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) connection closed
<2412> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) (a): Password is incorrect or error occurs
<2412> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) connection closed
<3012> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) (microsoft): Password is incorrect or error occurs
<3012> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) connection closed
<1704> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) (radmin): Password is incorrect or error occurs
<1704> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) connection closed
<5164> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) (internet): Password is incorrect or error occurs
<5164> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) connection closed
<5000> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) (host): Password is incorrect or error occurs
<5000> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) connection closed
<5160> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) (computer): Password is incorrect or error occurs
<5160> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) connection closed
<4708> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) (skynet): Password is incorrect or error occurs
<4708> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) connection closed
<2188> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) (login): Password is incorrect or error occurs
<2188> RServer3 2011.05.24 19:33 CUSTOM-104012F2 (172.29.181.4) connection closed

basbas1

Добавлено: 25.05.2011 15:33

[профиль]

Member
Статус: Не в сети
Регистрация: 20.08.2010

(billgates): Password is incorrect or error occurs :lol:

врятли у человека такая богатая фонтазия

Moduvator

Добавлено: 25.05.2011 15:41

[профиль]

Member
Статус: Не в сети
Регистрация: 02.08.2005
Откуда: Казань

BlackCatVL
Обычный робот, перебирающий пароли по словарю. Такое же можно обнаружить в логах практически любых HTTP, FTP серверов и т.п. Особенно весело, когда они, например, ищут phpmyadmin, последовательно перебирая все возможные пути, или пытаются использовать эксплоиты для IIS на юниксовых Апачах... =)

_________________
Feci quod potui, faciant meliora potentes.

BlackCatVL

Добавлено: 25.05.2011 15:42

[профиль]

Junior
Статус: Не в сети
Регистрация: 24.05.2011
Откуда: Владивосток

да там явно рука не человека))) во-первых, разные ip-адреса...даже, если используются промежуточные станции..
во-вторых, за минуту столько раз пробовать подключится - я бы не смог))
в-третьих, такая ерунда на всех серверах и на всех идет такой перебор паролей, явно простецких и дурацких...

вот и хочется докопаться до сути...истина где-то рядом..

Добавлено спустя 1 минуту 3 секунды:
Moduvator
тут корпоративная сеть и выхода в интернет нет...можно найти с какого компьютера это идет?

Shpoker

Добавлено: 25.05.2011 16:06

[профиль]

Member
Статус: Не в сети
Регистрация: 21.11.2007
Откуда: Украина, Киев

эхЪ, фейл2бан наше всё, но вот только в виндах его нет, но и тут есть возможность сделать доверенные сети (точнее доверенный комп админа). а остальных послать лесом ))

Silent forest

Добавлено: 11.07.2011 23:09

[профиль]

Member
Статус: Не в сети
Регистрация: 12.03.2005
Откуда: Sumy (UA)

172.29.181.22 и 172.29.181.4 (и другие, которые в логе есть) лучше проверить на вирусню и поменять пароль радмина на них (если он там установлен). Насколько я помню, в последних версиях радмина можно подключаться по цепочке компьютеров, как по прокси, если на каждом установлен радмин.
Ну и да, не помешает фильтр по ip в правилах радмина на сервере.

_________________
ЭТО Я НЕТЕРПЕЛИВЫЙ!?!!?Да я Сталкера прошел,не зная что можно бегать!
Как убивать друзей в STALKER: people.overclockers.ru/SilentF/record2

chelio

Добавлено: 06.08.2011 18:41

[профиль]

Member
Статус: Не в сети
Регистрация: 22.12.2003
Откуда: Moscow

Время написано, айпишник компа тоже, пробить кто в это время сидел за компом и если что надавать по рукам.Похоже на брутфорс подбор пароля)

Новая тема /

Ответить

Сообщений: 8

Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти: