Добрый день! Имеется сервачег на windows server 2008 R2. Там открыт был порт 3389 и соответственно было куча всякого брута и попыток взлома. Со всеми логами просто и понятно, кто откуда и зачем кроме одного:
Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 3
Новый вход:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x15881cd
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: -
Сведения о сети:
Имя рабочей станции: UNO2178A
Сетевой адрес источника: 202.39.254.231
Порт источника: 59913
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): NTLM V1
Длина ключа: 128
и далее через 3 секунды такой вот лог:
Выполнен выход учетной записи из системы.
Субъект:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x15881cd
Тип входа: 3
Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
То есть как я понял кто то попытался войти под анонимным пользователем и его система убила или что это вообще значит? Всем спасибо. В впн серваг уже добавил.
Средний
