IPB

Welcome Guest ( Log In | Register )

 
Reply to this topicStart new topic
> Подозрительная сетевая активность в Kaspersky Endpoint Security[В процессе]
Serzhanya
post 21.04.2017 08:09
Post #1


Newbie
*

Group: Members
Posts: 3
Joined: 21.04.2017




Добрый день. Установлен Windows Server 2008 R2 SP1 и Kaspersky Endpoint Security 10 for Windows. В последнее время заметил в отчетах в "Системном аудите" странную активность :

1)
Программа: Kaspersky Endpoint Security 10 для Windows
Пользователь: EKOPROM\Администратор (Активный пользователь)
Компонент: Управление защитой
Объект: localhost
Причина: Количество попыток ввода пароля и имени пользователя EKOPROM\WIN-DFTQOI8QDQG$ превысило 10 за 1 минуту в период с 07.04.2017 9:08:23 по 07.04.2017 9:23:23.

2) Еще вариант

Программа: Kaspersky Endpoint Security 10 для Windows
Пользователь: EKOPROM\Администратор, EKOPROM\l.molchanova, EKOPROM\m.syskova, EKOPROM\m.zhutaev, EKOPROM\e.petrova... (Активный пользователь)
Компонент: Управление защитой
Объект: k118.DIZIS.local
Причина: Количество попыток ввода пароля и имени пользователя EKOPROM\n.solodova превысило 10 за 1 минуту в период с 27.03.2017 16:03:21 по 27.03.2017 16:18:21.


3)

Программа: Kaspersky Endpoint Security 10 для Windows
Пользователь: EKOPROM\l.molchanova, EKOPROM\n.solodova (Активный пользователь)
Компонент: Управление защитой
Объект: k118.DIZIS.local
Причина: Количество попыток ввода пароля и имени пользователя EKOPROM\n.solodova превысило 10 за 1 минуту в период с 20.04.2017 17:59:23 по 20.04.2017 18:14:23.


Пользователи, которые указаны подключаются к серверу по РДП. А вот такого пользователя EKOPROM\WIN-DFTQOI8QDQG$ вообще не существует, но тем не менее.

Что это может быть?
Go to the top of the page
 
+Quote Post
Nikolay Arinchev
post 21.04.2017 08:47
Post #2


Technical Support Specialist
**************

Group: KL Russia
Posts: 11989
Joined: 5.10.2009




Здравствуйте,

Пожалуйста, приложите к своему ответу отчет GSI с машины, где наблюдается проблема.

Спасибо!


--------------------
In english: GSI report | AVZ report | KSC10 Traces | KES10 Traces | KSC9 Traces | KES8 Traces(RUS) | klnagchk log(RUS)

На русском: Отчет GSI | Лог AVZ | Трассировки KSC10 | Трассировки KES10 | Трассировки KSC9 |Трассировки KES8 | Отчет утилиты klnagchk

Подписаться на новости о корпоративных продуктах

Please evaluate support help by using "Rating" option!
Пожалуйста, оцените оказанную помощь, используя опцию "Rating" в названии топика!
Go to the top of the page
 
+Quote Post
Serzhanya
post 21.04.2017 15:26
Post #3


Newbie
*

Group: Members
Posts: 3
Joined: 21.04.2017




Сделал, объем получился более 7 Мб. Поэтому выложил на Яндекс Диск

https://yadi.sk/d/qDbuQfbi3HD4SR
Go to the top of the page
 
+Quote Post
Konstantin Anton...
post 21.04.2017 18:56
Post #4


Technical Support Engineer
*************

Group: KL Russia
Posts: 4021
Joined: 2.12.2015




QUOTE(Serzhanya @ 21.04.2017 14:26) *
Сделал, объем получился более 7 Мб. Поэтому выложил на Яндекс Диск

https://yadi.sk/d/qDbuQfbi3HD4SR

Здравствуйте!

Соберите пожалуйста трассировки KES в момент воспроизведения проблемы.

Спасибо!


--------------------
In english: GSI report | AVZ report | KSC10 Traces | KES10 Traces | KSC9 Traces | KES8 Traces(RUS) | klnagchk log(RUS)
На русском: Отчет GSI | Лог AVZ | Трассировки KSC10 | Трассировки KES10 | Трассировки KSC9 | Трассировки KES8 | Отчет утилиты klnagchk

Please evaluate support help by using "Rating" option!
Пожалуйста, оцените оказанную помощь, используя опцию "Rating" в названии топика!
Go to the top of the page
 
+Quote Post
Serzhanya
post 21.04.2017 20:20
Post #5


Newbie
*

Group: Members
Posts: 3
Joined: 21.04.2017




Попробую, вот что было замечено по отчетам
ввод пароля осуществляется от двух пользователей EKOPROM\n.solodova и EKOPROM\WIN-DFTQOI8QDQG$.
Еще есть периодичность, но непредсказуемая. Например сегодня это было первый раз с 8:44:23 по 8:59:23, затем с 11:44:23 по 11:59:23 (ровно через 3 часа), затем с 12:44:23 по 12:59:23 (ровно через час), затем 13:44:23 по 13:59:23 (еще раз ровно через час), и последнее с 17:44:24 по 17:59:24(ровно через 4 часа).
И вот как угадать чтобы сделать трассировку?
Go to the top of the page
 
+Quote Post
Nikolay Arinchev
post 23.04.2017 15:44
Post #6


Technical Support Specialist
**************

Group: KL Russia
Posts: 11989
Joined: 5.10.2009




Здравствуйте,

В этом случае включите трассировку и дождитесь того момента, когда в системе появится сообщение о вводе пароля.
Выключите трассировку и приложите к ней экспорт эвентлогов касперского, системы, приложений и системного аудита.

Т.к. объем трассировок будет довольно большим, пожалуйста, сообщите, если вам понтребуется доступ к нашему FTP.

Спасибо!


--------------------
In english: GSI report | AVZ report | KSC10 Traces | KES10 Traces | KSC9 Traces | KES8 Traces(RUS) | klnagchk log(RUS)

На русском: Отчет GSI | Лог AVZ | Трассировки KSC10 | Трассировки KES10 | Трассировки KSC9 |Трассировки KES8 | Отчет утилиты klnagchk

Подписаться на новости о корпоративных продуктах

Please evaluate support help by using "Rating" option!
Пожалуйста, оцените оказанную помощь, используя опцию "Rating" в названии топика!
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic

 



Lo-Fi Version Time is now: 26.06.2017 07:45