অজানা উত্স ডোমেন প্রশাসকের অ্যাকাউন্ট লক করছে এবং এলোমেলো ব্যবহারকারীর নাম ব্যবহার করে

আমার ডোমেনে আমার একটি ভার্চুয়াল মেশিন রয়েছে যা আমি দেখতে পাচ্ছি একটি অজানা উত্স ক্রমাগত প্রমাণীকরণের চেষ্টা করছে।

আমি ভিপি এর স্থানীয় ফায়ারওয়ালে আরপিসি পোর্টগুলি অবরুদ্ধ করে এটিকে থামাতে পারি, তবে এটি আমার জন্য এক টন ঝামেলা তৈরি করে।

আমি যখন আমার netlogon.logফাইলটি পরীক্ষা করি এটি প্রশাসকের লগআউটের জন্য এটির মতো দেখাচ্ছে

11/29 13:47:32 [লগন] [4100] সংস্থা: স্যামলোগন: ট্রান্সজিটিভ নেটওয়ার্ক লগনের (নাল) log অ্যাডমিনিস্ট্রেটর থেকে (MyVirtualMachineHostname এর মাধ্যমে) 0xC000006A 11/29 13:49:36 [লগন] [5364] কোম্পানী: স্যামলোগন: (নাল) Trans এর অ্যাডমিনিস্ট্রেটর থেকে (মাই ভার্চুয়ালম্যাচিনহোস্টনামের মাধ্যমে) 0xC000006A 11/29 13:52:32 [লগন] [36৪3636] সংস্থা: স্যামলোগন: WIN-L1R2 (প্রশাসনিক) এর প্রশাসনিক ট্রান্সজিট নেটওয়ার্ক MyVirtualMachineHostname এর মাধ্যমে) 0xC000006A 11/29 13:52:40 [লগন] [36৪3636] সংস্থা: সামলোগন: 'মাইপচোস্টনেম' থেকে জিউচিনি (মাই ভার্চুয়ালম্যাচাইন হোস্টনামের মাধ্যমে) রিটার্নস ১১/২০০০০ এপ্রিল_৪০০ ] [5364] সংস্থা: স্যামলগন: ট্রান্সজিটিভ নেটওয়ার্ক লগন (নাল) \ অ্যাডমিনিস্ট্রেটর থেকে (মাই ভার্চুয়ালমাচিনহোস্টনামের মাধ্যমে) 0xC000006A 11/29 14:04:16 [লগন] [1216] সংস্থা: স্যামলগন: ট্রান্সজিটিভ নেটওয়ার্ক লগন (নাল) W উইন-এল 1 জিয়া 2 ই 591 আর এর প্রশাসক (মাই ভার্চুয়ালম্যাচাইনহস্টনেম এর মাধ্যমে) 0xC000006A 11/29 14:14:34 [লগন] [ট্রান্সটিউটিভ: নেটওয়ার্ক: লোগান (নাল) \ অ্যাডমিনিস্ট্রেটর থেকে (মাই ভার্চুয়ালম্যাচিনহোস্টনামের মাধ্যমে) 0xC000006A 11/29 14:16:02 [লোগন] [5364] সংস্থা: স্যামলোগন: ট্রান্সজিটিভ নেটওয়ার্ক লগন (নাল) W প্রশাসক WIN-L1JIA2E591R এর মাধ্যমে (আমারভিউইচুয়ালমাইচুয়ারলামের মাধ্যমে) 0xC000006A 11/29 14:18:11 [লগন] [৩28২৪] কোম্পানী: স্যামলগন: ট্রান্সসিটিভ নেটওয়ার্ক লগনের (নাল) from অ্যাডমিনিস্ট্রেটর থেকে (MyVirtualMachineHostname এর মাধ্যমে) 0xC000006A 11/29 14:27:50 [লগন] [5364] কম্পিউটার : স্যামলোগন: ট্রান্সজিটিভ নেটওয়ার্ক লগন অফ নাল47 [লগন] [২২৪৪] সংস্থা: স্যামলগন: ট্রান্সজিটিভ নেটওয়ার্ক লগন (নাল) \ অ্যাডমিনিস্ট্রেটর থেকে (মাই ভার্চুয়ালমাচিনহস্টনেমের মাধ্যমে) 0xC000006A 11/29 14:37:41 [লগন] [892] সংস্থা: স্যামলোগন: ট্রান্সজিটিভ নেটওয়ার্ক লগনের বাতিল(নাল) Trans এর ট্রান্সজিটিভ নেটওয়ার্ক লগন(নাল) Trans এর ট্রান্সজিটিভ নেটওয়ার্ক লগন

এটি দেখতে এলোমেলো ব্যবহারকারীর নামগুলির একটি বৃহত পরিসীমা চেষ্টা করে:

11/29 14:28:12 [লগন] [3884] সংস্থা: স্যামলগন: ট্রান্সজিটিভ নেটওয়ার্ক লগন (নাল) Free ফ্রিআরডিপি থেকে আরসিএসএসপোর্ট (মাই ভার্চুয়ালম্যাচাইনহস্টনেমের মাধ্যমে) 0xC0000064 11/29 14:28:16 [লগন] [3884] সংস্থা : স্যামলোগন: ফ্রিআরডিপি থেকে (নাল) \ আরসিএসএসপোর্টের ট্রান্সজিটিভ নেটওয়ার্ক লগন (মাই ভার্চুয়ালম্যাচিনহোস্টনামের মাধ্যমে) 0xC0000064 11/29 14:28:35 [লগন] [7120] কোম্পানী: স্যামলোগন: ফ্রিআরডিপি থেকে (নাল) Trans পোস্টের ট্রানজিটিভ নেটওয়ার্ক লগন (নাল) MyVirtualMachineHostname এর মাধ্যমে) 0xC0000064 11/29 14:28:47 [লগন] [৪৪ ]36] সংস্থা: স্যামলগন: ফ্রিআরডিপি থেকে (ন্যুয়াল) Trans পোস্টের ট্রানসিটিভ নেটওয়ার্ক লগন (মাই ভার্চুয়ালম্যাচাইনহোস্টনামের মাধ্যমে) 0xC0000064 11/30 11:53:04 [LO ] [3048] সংস্থা: স্যামলগন: (ন্যুয়াল) এমএসএসকিউএসএভারভার থেকে (মাই ভার্চুয়ালমাচাইনহস্টনেমের মাধ্যমে) 0xC0000064 11/30 11:54:19 [লগন] [3048] সংস্থা: স্যামলোগন:(নাল) Trans আইইউএসআর_কিউএর (মাই ভার্চুয়ালমাচাইনহোস্টনামের মাধ্যমে) ট্রান্সসিটিভ নেটওয়ার্ক লগন 0xC0000064 রিটার্ন দেয়

চেষ্টাগুলি কোথা থেকে আসছে তা আমি কীভাবে আবিষ্কার করব? দেখে মনে হচ্ছে হোস্টনামের ছলনা করা হচ্ছে?

সমস্যাটি মেশিনে ম্যালওয়্যার MyVirtualMachineHostnameকিনা বা আমি আমার নেটওয়ার্কে কোনও সংক্রামিত কম্পিউটার খুঁজছি কিনা তাও আমি নিশ্চিত নই।

প্রথমে টিসিপি (এবং / বা ইউডিপি) বন্দরগুলি কী ব্যবহৃত হচ্ছে তা নির্ধারণ করুন। আমার অনুমান টিসিপি পোর্ট 135, তবে আমি বিশ্বাস করি যে আরপিসি সম্ভবত একটি জটিল জিনিস হতে পারে, সম্ভবত অন্যান্য বন্দর ব্যবহার করে। যদি আপনার ফায়ারওয়াল আপনাকে নির্দিষ্ট কিছু বিধি নির্দিষ্ট করে সেই বন্দরগুলি অক্ষম করতে দেয় তবে কী বন্দরে জড়িত তা দেখার জন্য এই নিয়মগুলি দেখুন।

তারপরে, সক্রিয় সংযোগগুলি সন্ধান করুন। একটি উপায় কমান্ড লাইনের মাধ্যমে। চিরাচরিত কমান্ড লাইনের জন্য এখানে আদেশগুলি রয়েছে:

netstat -na
netstat -na | find /i "135" | more

(যদি পাওয়ারশেল ব্যবহার করা হয়, আপনাকে সেই প্রতিটি উদ্ধৃতি চিহ্নের আগে একটি পিছনের টিক / কোট স্থাপন করতে হবে))

অন্য উপায়: উইন্ডোজ 10-এ (এবং সম্ভবত ভিস্তার প্রথম দিকে?), টাস্ক বারে ডান ক্লিক করুন, টাস্ক ম্যানেজারটি চয়ন করুন। পারফরম্যান্স ট্যাবে, "রিসোর্স ম্যানেজার" ক্লিক করুন। (অথবা, সেই রিসোর্স ম্যানেজারে যাওয়ার আরও কিছু উপায় থাকতে পারে)) নেটওয়ার্ক ট্যাবে যান, এবং "টিসিপি সংযোগগুলি" বিভাগটি (পছন্দসই) প্রসারিত করুন। অথবা, ইউডিপি জড়িত থাকলে, "শ্রবণ পোর্ট" বিভাগে আরও তথ্য থাকতে পারে।

এটি যা করে তা হ'ল আক্রমণকারীর আইপি ঠিকানা সনাক্তকরণ শুরু করা। আপনার কাছে একবার হয়ে গেলে আপনি যদি না সেই মেশিনের সাথে আলাপচারিতা শুরু করেন তবে আপনি আরও তথ্য পেতে সক্ষম হবেন না। (আরও বিশদ অনুসন্ধানের জন্য আপনার সেই মেশিনে অনুমতি লাগতে পারে)) ভাল, আপনি নেটওয়ার্ক সংযোগটি (যেমন, টিসিপিডাম্প বা আরও গ্রাফিকাল ওয়্যারশার্ক সহ) স্নিগ্ধ করে আরও তথ্য পেতে পারেন তবে আপনি সেই মেশিনটি ব্যবহার করার চেষ্টা করার চেয়ে আরও ভাল ( এটির কীবোর্ডের মাধ্যমে, বা কম্পিউটার ম্যানেজমেন্ট বা ডাব্লুএমআইসি এর মতো রিমোট ম্যানেজমেন্ট সরঞ্জামগুলির মাধ্যমে)।

যদি দূরবর্তী আইপি ঠিকানা লুপব্যাক হয় (আইপিভি 4 এর জন্য "127" দিয়ে শুরু হয়, বা আইপিভি 6 এর জন্য ":: 1" হয়) তবে আপনার সম্ভবত দুটি প্রবেশ (একটি বহির্গামী সংযোগের জন্য এবং একটি প্রাপ্তি সংযোগের জন্য) থাকবে । netstat -nabসেক্ষেত্রে কমান্ড প্রম্পট থেকে চালান । কমান্ড প্রম্পটটি উন্নত হয়েছে তা নিশ্চিত করুন (আপনি যদি ইউএসি সক্ষম করে থাকেন)। এটি আপনাকে একটি পিআইডি দেবে যা কোন স্থানীয় প্রোগ্রাম ব্যবহৃত হচ্ছে তা সনাক্ত করতে ব্যবহার করা যেতে পারে। এটি করার জন্য, একটি উন্নত কমান্ড প্রম্পট থেকে, ব্যবহার করুন:

WMIC PROCESS GET Name,ProcessID /FORMAT:LIST

(আবার, পাওয়ারশেল ব্যবহারকারীগণ এবার কমা-এর আগে একটি ব্যাক-টিক রাখবেন)) (আরও তথ্যের জন্য, "নাম, প্রসেসআইডি" অংশটি ছেড়ে দিন)) নির্দিষ্ট প্রসেসআইডি / পিআইডি, যেমন 12345 এর জন্য আপনি ব্যবহার করতে পারেন:

WMIC PROCESS GET Name,ProcessID /FORMAT:TABLE | FIND /I "12345"