Forum
Bildirimler
Hepsini Temizle
Windows Server
11
Yazılar
4
Üyeler
0
Likes
614
Görüntüleme
Konu başlatıcı
Merhaba,
Mevcut yapı üzerinde 1 adet windows 2003 Server üzerinde domain clientlerı bulunmaktadır. Stabil çalışma durumundan bir süre sonra bazı clientlar üzerinde kendini restart etme ve kullanıcı adı bölümünde "admin" hesabına düştüğü görülmektedir. Doğru kullanıcı adı ve sifre girildiğinde ekranda "uzak masaüstü bağlantınızı kesmek istediğinizden emin misiniz? Datalarınızı kaybedeceksiniz gibi" evet-hayır secenekli bir soru bildirimi çıkmaktadır. Bu bildirim evet ile geçildikten sonra clientlar normal olarak açılmaktadır. Fakat bir süre sonra tekrar kendini kilitleyip, admin hesabına düşmektedir.
Clientler üzerinde Win XP SP3 bulunmaktadır.
Server üzerinde eventloglarda herhangi anormal bir durum görünmemekle beraber, Security sekmesinde bağlanılan kullanıcılar sistemin mevcut kullanıcıları görünmektedir. Sistemlerde herhangi bir virüs ve saldırı olup olmadığı belirsiz. Buna benzer bir durumla daha önce karşılaşmış kimse varmıdır? 🙂
Gönderildi : 24/08/2011 12:31
Kullanıcı adı ve şifrelerini bilen başka bir kullanıcı uzak masaüstü ile client larına bağlanıyor muhtemelen.Bence 1-2 tane client ının Uzak bağlantısını kapat ve bekle.Diğer clientlarda aynı sorun oluyorken bu uzak bağlantısını kapattığın clientlarda bir sorun yoksa tüm client şifrelerini değiştir bence.
Gönderildi : 24/08/2011 13:11
Konu başlatıcı
İlk başta bende öyle düşündüm ama aynı anda 5-6 bilgisayarın yapması bana bir virüs programı gibi geldi. Şuan ihtimaller saldırı gibi görünüyor.
Gönderildi : 24/08/2011 13:13
Aynı sorun 1 haftadır bizim sistemimizdede var. Yaklaşık 4-5 aynı bilgisayar 15-20 dakika arayla oturumunu kapatıp admin oturumuna geçmeye çalışıyor.
Clientler active directory e bağlı. Uzaktan bağlanma gibi bi durum yok.
Ciddi problem yaşıyoruz 1 haftadır. Yardıma ihtiyacım var.
Gönderildi : 24/08/2011 13:15
Konu başlatıcı
Evet, Kemal arkadaşın problemi benimkiyle hemen hemen aynı, muhtemelen bir virüs sıkıntısından kaynaklanıyor.
Gönderildi : 24/08/2011 13:18
Konu başlatıcı
Yaptıgım arastırma sonucu sistemimde Win32.Agent.GWAJIKA diye bir trojan tespit ettim. Bütün sorunun sorumlusu bu programcıktır. Bu program adware yoluyla bulasıyor sanırım. Kendisini Windows\System32 altında rastgele bir dosya oluşturup, sürekli Windows oturumunun yeniden başlamasına sebep oluyor. Güncel bir virüs programı temizliyor. Removal Tools var mı yok mu diye araştırıyorum. Bilginize...
Gönderildi : 24/08/2011 14:08
Bizde virüsten olduguna karar verdik. Nod32 malesef hiçbirini bulamıyo. Microsoft security essentinal bikaç tane buldu. Sonucunu tekrar yazıcam...
Gönderildi : 24/08/2011 14:29
Sorunu çözdük. System32 nin içindeki. userinit.exe dosyasını virüs değiştirmiş. Orjinaliyle değiştirince sorun düzeldi.
Gönderildi : 24/08/2011 17:25
Geri dönüş için teşekkürler.
Gönderildi : 26/08/2011 18:46
Konu başlatıcı
Merhaba, bu postu ilk actıgım gün sorunun belirtiğim virüs oldugu sanıyordum. Fakat sistemde daha sonra baska mutasyonlara ugradığı icin tam anlamıyla w32.morto.A isimli bir worm oldugu tespit edilmiştir. Bu worm temizleyecek herhangi bir özel bir tool bulamadım bu sebeple manuel olarak temizlemeye calisiyorum.
Konuyla ilgili elinde bilgi olan varsa paylasmasını rica ederim. Kolay gelsin...
Gönderildi : 02/09/2011 23:22
Bunları denedinizmi?
http://www.symantec.com/security_response/writeup.jsp?docid=2011-082908-4116-99&tabid=3
Gönderildi : 02/09/2011 23:52
