Forum

W2003 Domain ortamı...
 
Bildirimler
Hepsini Temizle

W2003 Domain ortamındaki Clientler'ın Kendini Kapatıp Admin hesabına düşmesi

11 Yazılar
4 Üyeler
0 Reactions
750 Görüntüleme
(@enginhalis)
Gönderiler: 6
Active Member
Konu başlatıcı
 

Merhaba,

Mevcut yapı üzerinde 1 adet windows 2003 Server üzerinde domain clientlerı bulunmaktadır. Stabil çalışma durumundan bir süre sonra bazı clientlar üzerinde kendini restart etme ve kullanıcı adı bölümünde "admin" hesabına düştüğü görülmektedir. Doğru kullanıcı adı ve sifre girildiğinde ekranda "uzak masaüstü bağlantınızı kesmek istediğinizden emin misiniz? Datalarınızı kaybedeceksiniz gibi" evet-hayır secenekli bir soru bildirimi çıkmaktadır. Bu bildirim evet ile geçildikten sonra clientlar normal olarak açılmaktadır. Fakat bir süre sonra tekrar kendini kilitleyip, admin hesabına düşmektedir.

Clientler üzerinde Win XP SP3 bulunmaktadır.

Server üzerinde eventloglarda herhangi anormal bir durum görünmemekle beraber, Security sekmesinde bağlanılan kullanıcılar sistemin mevcut kullanıcıları görünmektedir. Sistemlerde herhangi bir virüs ve saldırı olup olmadığı belirsiz. Buna benzer bir durumla daha önce karşılaşmış kimse varmıdır? 🙂 

 
Gönderildi : 24/08/2011 12:31

(@m-oguzhanozkurt)
Gönderiler: 1323
Noble Member
 

Kullanıcı adı ve şifrelerini bilen başka bir kullanıcı uzak masaüstü ile client larına bağlanıyor muhtemelen.Bence 1-2 tane client ının Uzak bağlantısını kapat ve bekle.Diğer clientlarda aynı sorun oluyorken bu uzak bağlantısını kapattığın clientlarda bir sorun yoksa tüm client şifrelerini değiştir bence.

 
Gönderildi : 24/08/2011 13:11

(@enginhalis)
Gönderiler: 6
Active Member
Konu başlatıcı
 

İlk başta bende öyle düşündüm ama aynı anda 5-6 bilgisayarın yapması bana bir virüs programı gibi geldi. Şuan ihtimaller saldırı gibi görünüyor. 

 
Gönderildi : 24/08/2011 13:13

(@KEMALKIRLIOGLU)
Gönderiler: 6
Active Member
 

Aynı sorun 1 haftadır bizim sistemimizdede var. Yaklaşık 4-5 aynı bilgisayar 15-20 dakika arayla oturumunu kapatıp admin oturumuna geçmeye çalışıyor. 


Clientler active directory e bağlı. Uzaktan bağlanma gibi bi durum yok.


Ciddi problem yaşıyoruz 1 haftadır. Yardıma ihtiyacım var.

 
Gönderildi : 24/08/2011 13:15

(@enginhalis)
Gönderiler: 6
Active Member
Konu başlatıcı
 

Evet, Kemal arkadaşın problemi benimkiyle hemen hemen aynı, muhtemelen bir virüs sıkıntısından kaynaklanıyor.

 
Gönderildi : 24/08/2011 13:18

(@enginhalis)
Gönderiler: 6
Active Member
Konu başlatıcı
 

Yaptıgım arastırma sonucu sistemimde Win32.Agent.GWAJIKA diye bir trojan tespit ettim. Bütün sorunun sorumlusu bu programcıktır. Bu program adware yoluyla bulasıyor sanırım. Kendisini Windows\System32 altında rastgele bir dosya oluşturup, sürekli Windows oturumunun yeniden başlamasına sebep oluyor. Güncel bir virüs programı temizliyor. Removal Tools var mı yok mu diye araştırıyorum. Bilginize...

 
Gönderildi : 24/08/2011 14:08

(@KEMALKIRLIOGLU)
Gönderiler: 6
Active Member
 

Bizde virüsten olduguna karar verdik. Nod32 malesef hiçbirini bulamıyo. Microsoft security essentinal bikaç tane buldu. Sonucunu tekrar yazıcam...

 
Gönderildi : 24/08/2011 14:29

(@KEMALKIRLIOGLU)
Gönderiler: 6
Active Member
 

Sorunu çözdük. System32 nin içindeki.  userinit.exe dosyasını virüs değiştirmiş. Orjinaliyle değiştirince sorun düzeldi.

 
Gönderildi : 24/08/2011 17:25

(@m-oguzhanozkurt)
Gönderiler: 1323
Noble Member
 

Geri dönüş için teşekkürler.

 
Gönderildi : 26/08/2011 18:46

(@enginhalis)
Gönderiler: 6
Active Member
Konu başlatıcı
 

Merhaba, bu postu ilk actıgım gün sorunun belirtiğim virüs oldugu sanıyordum. Fakat sistemde daha sonra baska mutasyonlara ugradığı icin tam anlamıyla w32.morto.A isimli bir worm oldugu tespit edilmiştir. Bu worm temizleyecek herhangi bir özel bir tool bulamadım bu sebeple manuel olarak temizlemeye calisiyorum. 

Konuyla ilgili elinde bilgi olan varsa paylasmasını rica ederim. Kolay gelsin... 

 
Gönderildi : 02/09/2011 23:22

(@ugurburma)
Gönderiler: 1973
Üye

Paylaş: