Windows 2000 server rare event - Windows clients

vrijdag 8 augustus 2003 15:25

Acties:

Topicstarter

Hoi, ik heb een probleem met een server.
Ik ontvang ong. 150 event meldingen per 10 minuten

altijd dezelfde, deze :

EVENT # 5044277
EVENTLOG Security
EVENT TYPE AUDIT FAILURE
SOURCE Security
CATEGORY Object Access
EVENT ID 560
USERNAME D1HAM600\Administrator
COMPUTERNAME D1HAM600
TIME 8/8/2003 3:18:10 PM
MESSAGE Object Open:
Object Server: Security
Object Type: Desktop
Object Name: \Winlogon
New Handle ID: -
Operation ID: {0,3499575}
Process ID: 2848
Primary User Name: Administrator
Primary Domain: D1HAM600
Primary Logon ID: (0x0,0xA91D)
Client User Name: -
Client Domain: -
Client Logon ID: -
Accesses %MAX_ALLOWED
%Read Objects
%Write objects
Privileges -

Weet iemand wat dit is ?

vrijdag 8 augustus 2003 15:27

Acties:

Grolsch

het heeft iets te maken met het auditten van een object.
Zoals ik zie wordt je desktop ge-audit?
wat audit je allemaal?

PVOUPUT - 13.400WP - Twente

vrijdag 8 augustus 2003 15:28

Acties:

ArjanC

Topicstarter

Ehm... het is niet mijn server

er word alleen even gevraagt of ik het op wil lossen

heb je misschien een hint voor me ?!

vrijdag 8 augustus 2003 15:28

Acties:

Verwijderd

http://www.eventid.net/

het lijkt me overigens een license probleem

[ Voor 97% gewijzigd door Verwijderd op 08-08-2003 15:30 ]

vrijdag 8 augustus 2003 15:35

Acties:

Tefflar

www.eventid.net :

According to a Microsoft Support Professional from a newsgroup post:
"Error 560 usually refer to object access. What is happening is that whenever a user makes a connection to something out on the network, i.e a file server, a printer, an mp3 on someones share, a connection is made. When they log off, even 3 three hours later, the machine will go out and attempt to close that connection. It has to contact the resource in order to close the connection and it would do this using the account that set up the initial connection. That is the object access that you are probably recording, and it shouldnt be anything to worry about."

For Windows NT the local user having only Read and Execute (RX) permissions may cause this event when the files are being audited for Write failures. To work around this problem:
- Use File Manager instead of Explorer and these errors will not be generated.
- Do not audit write failures on files that only have Read and Execute access.
See Q172509.

vrijdag 8 augustus 2003 15:39

Acties:

ArjanC

Topicstarter

het probleem is dat die server in Hamburg staat, zo'n 6 uur rijden

ik kan hiervandaan niet zien wat de Admin allemaal heeft openstaan.. (als ik user aanzet bij taskmanager zie ik alleen wat nummertjes)

is het mogelijk met Windows 2000 server om te zien wat de admin heeft openstaan. het locaal inloggen met Administrator is disabled.

vrijdag 8 augustus 2003 15:44

Acties:

mutsje

Certified Prutser

ook ff overnieuw

Je kunt met task manager al zien wat hij open heeft staan aan processes. Dit zou betekenen dat je local administrator rechten hebt(?).

Open een MMC voeg Group Policy toe > connect naar die computer. Ga nu naar
local computer policy>windows settings > Local Policies > Audit Policy > schakel Audit Object Acces uit. En klaar ben je ermee

[ Voor 78% gewijzigd door mutsje op 08-08-2003 15:49 . Reden: ff overnieuw begonnen ]

vrijdag 8 augustus 2003 15:50

Acties:

Verwijderd

Tefflar schreef op 08 August 2003 @ 15:35:
www.eventid.net :

According to a Microsoft Support Professional from a newsgroup post:
"Error 560 usually refer to object access. What is happening is that whenever a user makes a connection to something out on the network, i.e a file server, a printer, an mp3 on someones share, a connection is made. When they log off, even 3 three hours later, the machine will go out and attempt to close that connection. It has to contact the resource in order to close the connection and it would do this using the account that set up the initial connection. That is the object access that you are probably recording, and it shouldnt be anything to worry about."

For Windows NT the local user having only Read and Execute (RX) permissions may cause this event when the files are being audited for Write failures. To work around this problem:
- Use File Manager instead of Explorer and these errors will not be generated.
- Do not audit write failures on files that only have Read and Execute access.
See Q172509.

melding is niet exact hetzelfde... dit een max cons error... op eventid is het een read access error.

vrijdag 8 augustus 2003 15:51

Acties:

Verwijderd

burp2001 schreef op 08 augustus 2003 @ 15:39:
het probleem is dat die server in Hamburg staat, zo'n 6 uur rijden ik kan hiervandaan niet zien wat de Admin allemaal heeft openstaan.. (als ik user aanzet bij taskmanager zie ik alleen wat nummertjes)

is het mogelijk met Windows 2000 server om te zien wat de admin heeft openstaan. het locaal inloggen met Administrator is disabled.

via ts kan je bij de server? dan kan je via ts manager iemand van de console kicken

vrijdag 8 augustus 2003 15:52

Acties:

Verwijderd

Ik neem aan dat je wel remote kunt checken welke services er draaien
op die machine. Check eens of je dingen al DNS-Performance of RPC-DDE of
andere services die je niet kent. Het kan zijn dat ie gehacked is en er een
ServU ftp op draait. Vaak wordt dan ook het inlogscherm gefacked
Als dat zo is kun je dat hier vinden:
RegEdit openen, remote connecten naar die machine en check dan de volgende key
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
in het rechter venster moet GEEN verwijzing staan naar (MS)GINA.DLL

succes

vrijdag 8 augustus 2003 16:12

Acties:

ArjanC

Topicstarter

Verwijderd schreef op 08 augustus 2003 @ 15:51:
[...]

via ts kan je bij de server? dan kan je via ts manager iemand van de console kicken

ik zie dat Administrator ingelogt is maar ik kan um niet kicken (grayed-out) ik ben wel admin op die pc..

vrijdag 8 augustus 2003 16:15

Acties:

ArjanC

Topicstarter

Verwijderd schreef op 08 August 2003 @ 15:52:
Ik neem aan dat je wel remote kunt checken welke services er draaien
op die machine. Check eens of je dingen al DNS-Performance of RPC-DDE of
andere services die je niet kent. Het kan zijn dat ie gehacked is en er een
ServU ftp op draait. Vaak wordt dan ook het inlogscherm gefacked
Als dat zo is kun je dat hier vinden:
RegEdit openen, remote connecten naar die machine en check dan de volgende key
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
in het rechter venster moet GEEN verwijzing staan naar (MS)GINA.DLL

succes

deze ?

GinaDLL = C:\WINNT\System32\awgina.dll

vrijdag 8 augustus 2003 16:21

Acties:

wildhagen

Blablabla

burp2001 schreef op 08 augustus 2003 @ 16:15:
[...]

deze ?

GinaDLL = C:\WINNT\System32\awgina.dll

Heb je PC-Anywhere op die server geinstalleerd? AWGINA.DLL word namelijk door Pc-Anywhere (iig de versies 9 en hoger) geinstalleerd als vervanger voor de standaard-Microsoft GINA.

Als PC-Anywhere niet op die server hoort te draaien en niemand er iets vanaf weet: you're hacked.

Als het er wel opstaat en er ook hoort is het normaal.

Virussen? Scan ze hier!

vrijdag 8 augustus 2003 16:22

Acties:

ArjanC

Topicstarter

ze hebben pc anywhere geinstalleert..

Pagina: 1

Reageer