Неожиданно обнаружили на сервере неизвестного пользователя.
Под гостем обнаружился хост с именем "Zolotie-kupola..." длинное имя.
Как попал не поймем.
Отрубали инет, физически. Не пропадает.
Пингуется на один из наших шлюзов.
Если физически отрубить шлюз (микротик), то он пропадает.
Этот же шлюз раздает вайфай.
Но в списке DHCP, нет такого имени.

Шанс кто то принес ноут, и ухитрился настроить - велик.
Кто то вообще посторонний, через вай фай... не понятно как.

В общем сидит какая то хрень в сети, а как вычислить откуда и кто, не можем.

Очевидно, стоит убрать общий доступ, и пр. но сначала хочется вычислить...

Ты юзера обнаружил или логин и на каком севере WinServer или MSSQL.

Для статических IP не нужен никакой DHCP - т.е. его вполне может и не быть в соответствующих инструментах управления роутера. Вот список MAC всех "клиентов" роутера по любому должен показать его. Домен-контроллер тоже должен видеть всех клиентов (со статическими адресами тоже) с их IP и MAC-ами - глянь в MMC оснастке DHCP и DNS.
Если контора небольшая, то проще запретить доступ всем вне домена, а в сам домен вводить машины только админам. Если больше и "гостей" нельзя совсем блокировать - ну придётся разводить трафик, по сути две сети (виртуальные) держать - одну для работы с доступом к внутренним ресурсам, и вторую чисто для раздачи интернета "гостям", ну и доступа к "публичным" ресурсам, если таковые имеются - и не факт что всё установленное оборудование поддерживает все эти VLAN-ы...

Боже упаси от MSSQL)))
Да нет. Просто Server2008
И там сеанс с таким хостом.
Не юзер и не логин. Хост-компьютер
Гость.
Но и родных гостей не мало.
Какие файлы открыл не ясно.
(Вообще то сервак файло помойка, потому плохо защищен)
Что то он упорно живет.
Посмотрю ночью, когда наши спать будут, что он держит.
Потому и не убиваю его сеанс.
Главное он активный.

Igor Korolyov
Для статических IP...

В том то и дело. Пингуя этот золотой купол))) выдает IP нашего шлюза. (((
И в том то и дело, что мой админ, не может его мак вычислить

Тот ресурс где шарится, ничего страшного и нет.
Но. Интересно, кто чужой, что у нас делает!
Хочется разобраться. Какой то умник, что то притащил, и играется с нашими ресурсами?

Неплохо бы отыскать...
Как бороться на будущее, ясно.
Но сейчас не хочу что то перекрывать, хочу найти "злоумышлинника"

И что то он долго сидит. Похоже все же на робот.
Да и имя полное
Zolotie-kupola-AP200-ETHER1.0.rmt.ru

Ну и наш провайдер, как раз rmt.ru
Никакого AP200 у нас нет.

Как имя то машины определили? Просто есть подозрение что неправильно Потому и показывает на ваш роутер, за которым и живёт сеть rmt.ru...
хз как у них организована внутренняя (в рамках провайдера) сеть, но если она вдруг совпадает с вашей, то при неудачном разрешении имени внутри вашей сети на запрос может ответить DNS провайдера, и показать имя какой-то машины в его сети, естественно не имеющей ни малейшего отношения к тому кто реально "сидит на сервере".
arp таблицы там гляньте, и по чистому ip смотрите на "злодея", забейте на "имя". Если там не 100500 клиентов, то отфильтровать "легальных" от непойми кого будет несложно.

Аспид
Zolotie-kupola-AP200-ETHER1.0.rmt.ru

Вам кредо-телеком вовнутрь сети смотрит? Может у вас многовато наружу открыто? SMB или NetBIOS насквозь в сеть заходят, как я понимаю. Если обозреватель сети снаружи не доступен, значит настроен NAT со шлюза на этот сервер.
В любом случае, пинайте админа.

PS. 2Игорь. Какой-то еще менее вероятный сценарий.



Исправлено 1 раз(а). Последнее : pasha_usue, 15.02.17 07:18

pasha_usue
Вам кредо-телеком вовнутрь сети смотрит?

Нет. Такое подозрение сразу возникло.
У нас 2 канала в инет. 1 - кредо телеком. 2й йота. (типа резерв)
Отключали физически кредо. Хост жил.
Теперь уж наверное не поймаешь)))
Нету его)

pasha_usue
Может у вас многовато наружу открыто?

Да вроде кажется, только то что нужно, и достаточно прикрыто.
Но не силен в этом.
Да и админ, доморощеный( Просто программист. Которому поручено.
Он по железу спец, ну вот его и нагрузили, как самого близкого)
Наверное пробелов у него хватает.
Но на мой взгляд, все ок.

К критически важным местам, внимание особое. Там ничего не замечал.

Придется наверное и в помойке, запрещать гостя, и все папки делать персональными.
Больно много бегать. Много юзеров, раскиданы территориально.

Спасибо всем.
Все же навели на мысли)
Оказалось никакого криминала.
У нас основная сеть 192.168.1.х
И есть 192.168.5.х и др.
Так вот, с 5й подсети, некоторые так опознавались.
Админ удивлен.
Разбирается.

pasha_usue
PS. 2Игорь. Какой-то еще менее вероятный сценарий.

Почему это вдруг?
Имя машины отдаёт либо DNS, либо WINS - но WINS сразу отпадает, т.к. для него возможны лишь 15-символьные имена узлов (+1 служебный символ-признак).
Значит всё упирается в то как именно DNS ресолвит IP адрес в имя. А DNS система сложная, там как правило "пересылки" (forwarding) запросов происходят, если "основной" сервер "не знает" как ответить на вопрос - и если это настроено некорректно, то запрос про внутренний IP может выйти наружу, на DNS роутера, или сразу на DNS провайдера - а он вполне может чего-то там знать про СВОЙ внутренний ресурс с тем же IP что и запрашиваемый "наш" ресурс.
Это совсем даже "обычная" ситуация, если админ "не очень" рубит в теме. Например, он неверно настроил зону обратного просмотра (Reverse Lookup Zone) на корпоративном DNS (том что на DС работает), или не выключил DNS на роутере...

Аспид
Так вот, с 5й подсети, некоторые так опознавались.
Админ удивлен.
Разбирается.

Ну вот, такая интрига... Мы тут покорном и пепси колой запаслись - узнать, кто плюшки ворует, и какое ему за это будет наказание. И тут - ни какой интриги...