2 votes

Xaqron avatar

Trop de csrss.exe, LogonUI.exe, svchost.exe et winlogon.exe dans le gestionnaire de tâches

Demandé el 23 de Août, 2011
Quand la question a-t-elle été
5867 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Sur un serveur Windows 2008 édition entreprise, rien n'a changé mais depuis peu, il y a de nombreuses csrss.exe , LogonUI.exe , svchost.exe y winlogon.exe processus dans le gestionnaire de tâches.

Cela signifie-t-il que certaines sessions distantes sont actives (le serveur est compromis) ou quoi ?

EDITAR:

J'ai vérifié les journaux d'événements et il semble que quelqu'un essaie de se connecter avec Administrator utilisateur. Il semble s'agir d'un outil automatisé. Comment puis-je me défendre (bloquer l'IP du pirate...) ?

Voici le journal :

An account failed to log on.

...

Logon Type:         10

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       Administrator
    Account Domain:     ...

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         ...
    Sub Status:     ...

Process Information:
    Caller Process ID:  ...
    Caller Process Name:    C:\Windows\System32\winlogon.exe

Network Information:
    Workstation Name:   ...
    Source Network Address: ...
    Source Port:        ...

Detailed Authentication Information:
    Logon Process:      NtLmSsp
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.
...
Demandé el 23 de Août, 2011 par Xaqron

Réponses

Trop de publicités?

3voto

joeqwerty avatar
joeqwerty Points 106914

La connexion de type 10 est une connexion interactive à distance, ce qui signifie que quelqu'un essaie de se connecter via RDP. Autorisez-vous les connexions RDP au serveur à travers votre pare-feu ?

Répondu el 24 de Août, 2011 par joeqwerty (106914 Points )

1voto

Stephen Short avatar
Stephen Short Points 46

De nombreux services Windows utilisent svchost.exe. Vous pouvez regarder dans votre nœud services.msc pour les voir. Il suffit de double-cliquer sur certains services comme le client dhcp ou le client dns pour voir l'exécutable que Windows lancera pour le service. Si vous êtes préoccupé par les services de terminal ou les connexions de bureau à distance, vous pouvez aller dans l'onglet Utilisateurs du gestionnaire de tâches pour voir si quelqu'un est actuellement connecté. Bien entendu, cela ne fonctionne que pour les outils à distance de Microsoft.

Répondu el 23 de Août, 2011 par Stephen Short (46 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X