Misbruiker shutdown.exe opsporen dmv DNS - Serversoftware en clouddiensten

maandag 17 maart 2008 11:58

Acties:

Topicstarter

In het volgende topic las ik dat het misbruik van shutdown.exe op te sporen is via de DNS: Shutdown.exe blokkeren

Vervolgens je logging nakijken waar die request vandaan komt, reverse dns entry bij IP zoeken

Nu zou ik niet weten hoe ik dit doe? Ik heb in mijn DNS gekeken, maar kom niet echt verder. Het zal vast heel simpel zijn, maar ik zie het even niet meer (al teveel geprobeerd

). Zou iemand even kunnen helpen?

maandag 17 maart 2008 12:07

Acties:

Zr40

Moderator General Chat

heeft native IPv6

Reb87 schreef op maandag 17 maart 2008 @ 11:58:
[...]
Nu zou ik niet weten hoe ik dit doe?

Je zoekt het IP adres op in je logs, vervolgens doe je in een command prompt 'nslookup ipadres'.

maandag 17 maart 2008 12:24

Acties:

ODF

Als je hedendaags nog last hebt van deze remote hassle dan moet je eens denken aan een update van Windows, want dan loop je 2 jaar achter met updates van Microsoft. En als je wel up-to-date bent werkt deze hassle alleen nog maar in een netwerk waar iemand admin rechten heeft op jou PC. En als jij de admin niet bent van dit netwerk zou ik maar melden bij de IT staf.

[ Voor 7% gewijzigd door ODF op 17-03-2008 12:30 ]

Klaverjassen op je Pocket PC?! Klik hier!

maandag 17 maart 2008 13:05

Acties:

Reb87

Topicstarter

ODF schreef op maandag 17 maart 2008 @ 12:24:
Als je hedendaags nog last hebt van deze remote hassle dan moet je eens denken aan een update van Windows, want dan loop je 2 jaar achter met updates van Microsoft. En als je wel up-to-date bent werkt deze hassle alleen nog maar in een netwerk waar iemand admin rechten heeft op jou PC. En als jij de admin niet bent van dit netwerk zou ik maar melden bij de IT staf.

Via een policy hebben we het programma geblokeerd. Nu is het alleen nog steeds mogelijk shutdown.exe op een andere locatie te zetten of te hernoemen en alsnog uit te voeren.

maandag 17 maart 2008 13:56

Acties:

ODF

Vreemde situatie, lijkt of de veiligheid van je netwerk gebroken is. Hopenlijk laten ze het alleen bij clients want je kunt met shutdown.exe ook servers uitzetten als je de admin rechten hebt.
Veel wijsheid om dit te verhelpen.

Klaverjassen op je Pocket PC?! Klik hier!

maandag 17 maart 2008 14:06

Acties:

ODF

Ik ben ook beheerder en heb hier gelukkig geen last van maar misschien moet je een policy maken dat de RPC service uitgeschakeld wordt op alle computers in je netwerk, alleen zo even geen idee hoe en of dit geen verregaande gevolgen heeft voor de stabiliteit van Windows.

edit:
Geen goed idee, dit kreupelt je Windows OS alleen maar

[ Voor 11% gewijzigd door ODF op 17-03-2008 14:10 ]

Klaverjassen op je Pocket PC?! Klik hier!

maandag 17 maart 2008 14:13

Acties:

bastian433

en een WSUS server opzetten en de boel patchen. zorgen dat gebruikers niet meer rechten hebben dan ze nodig zijn, administrator accounts hernoemen evt/ andere wachtwoorden op zetten.
er is ergens iets lek lijkt mij.

maandag 17 maart 2008 14:17

Acties:

bastian433

je hebt er meer aan iig om je probleem op te lossen dan na vele uren zoeken wie het doet te kunnen zeggen van stoute jongen niet weer doen he en dan ontdekt een ander het en zo blijf je bezig.

maandag 17 maart 2008 14:22

Acties:

LuckY

Task scheduler uitzetten.
de service op de clients niet laten starten. meeste programma's maken een scheduled task aan om bijvoorbeeld na 1 minuut aftesluiten.

anders moet je iets met een echo script maken komt er van een remote user een shutdown doe dan shutdown -a ofwat

maandag 17 maart 2008 20:29

Acties:

Brahiewahiewa

boelkloedig

Tja, je zet een grote schaal met koekjes op tafel en zegt tegen je kinderen: "Jongens, geen koekjes eten, hoor!". Vervolgens ga je een groot drama lopen maken, iedere keer dat er een koekje verdwenen is. Niet slim, hè?

Kennelijk hebben alle gebruikers admin rechten op alle PC's; daar moet je wat aan doe. De rest is symptoombestrijding

QnJhaGlld2FoaWV3YQ==

Pagina: 1

Reageer