[es] - server i problem Source: MSFTPSVC

aikidomaster

Član broj: 162160
Poruke: 148
*.cust.panline.net.

+1 Profil

^{01.06.2009. u 07:34 - pre 181 meseci}

Na serveru mi se svakih sekund vremena (kada gledam u "Event Properties" pojavljuje :
Data: xxxxxxxxxx
Source: MSFTPSVC
Time xxxxxxxxxx
Category: None
Type: Warning
Event ID: 100
User: N/A

Description:
The server was unable to logon the Windows NT account 'Administrator' due to the following error: Logon failure: unknown user name or bad password. The data is the error code.

Server ima vezu sa internetom - Wireless (kada iskljucim net prestane da se pojavljuje cim ga ushtekam nazad ponovo isto)

Zanimam me zasto !???
Ako neko moze da mi pomogne
Unapred Hvala

Ono sto ne moze niko Mogu i ja

Odgovor na temu

valjan
Janko Valencik
Software Deployer
Schneider Electric
Novi Sad

Moderator
Član broj: 158605
Poruke: 3531
*.adsl.eunet.rs.

+553 Profil

Re: server i problem Source: MSFTPSVC

^{01.06.2009. u 13:30 - pre 181 meseci}

Na tom serveru imas pokrenut IIS i pod njim imas pokrenut i FTP servis. Neko ili nesto spolja pokusava da se konektuje na taj FTP server koristeci nalog Administrator, a taj nalog je ili iskljucen na tvom serveru ili ima lozinku koju onaj "spolja" jos nije uspeo da provali. Posto kazes da se to ponavlja svake sekunde, pre ce biti da neki mrezni crv ili nesto slicno pokusava da se ubaci na tvoj server preko FTP servisa. Ako ti FTP servis nije potreban - iskljuci ga: idi na Start > Run, ukucaj services.msc, i pronadji FTP Publishing Service, klikni dva puta levim dugmetom misa (ili jednom desnim pa odaberi Properties), i u kucici Startup Type odaberi disabled i zatim klikni na STOP dugme. Ukoliko ti ni IIS nije potreban, uradi isto sa World Wide Web Publishing Service i IIS Admin Service.

Sa druge strane, ako ti je FTP neophodan za rad, najbolje je da dozvolis pristup samo sa odredjenih IP adresa a ostale da blokiras, a ako to nije izvodljivo onda blokiraj samo one koje ti prave glavobolju. Da bi saznao odakle dolaze sva ta logovanja, pogledaj u FTP logove:

najpre proveri da li je ukljuceno logovanje za taj FTP sajt, a to se postize tako sto otvoris IIS manager (Control Panel > Administrative Tools > Internet Information Services (IIS) Manager), pronadjes tvoj IIS server na spisku, ispod njega FTP Sites, a ispod toga treba da se nalazi najmanje Deafult FTP Site, a mozda ih ima jos. Klikni desnim dugmetom misa na svaki FTP sajt, odaberi Properties, na kartici FTP Site proveri da li je stiklirana kucica Enable logging, a u kucici ispod toga treba da stoji W3C Extended Log File Format. Klikni na dugme Properties pored ove kucice, i u donjem delu prozora videces putanju gde se nalaze log fajlovi - uglavnom se nalaze u C:\WINDOWS\system32\LogFiles\MSFTPSVCX, pri cemu je X broj tog FTP sajta za koji podesavas logovanje. Na kartici Advanced mozes detaljnije podesiti koje informacije zelis da budu upisane u log fajlu, a tebi je u ovom slucaju najbitnije da bude stiklirano Client IP address (c-ip).

Dakle, kada si pronasao gde se nalaze log fajlovi, kako se zovu i kada si se uverio da se u njih nesto i upisuje, otvori najsveziji (ime fajla sadrzi datum nastanka u formatu YYMMDD), i potrazi kolonu c-ip (uglavnom je medju prvima u izvestaju), i videces sa koje IP adrese taj neko ili nesto pokusava da udje kod tebe.

Jedna od stvari koje mozes da uradis sa tim podatkom je da tu IP adresu blokiras preko firewalla, ali postoji mogucnost da se to desava sa vise IP adresa, u tom slucaju je lakse blokirati pristup svima i explicitno dozvoliti pristup samo odredjenim IP adresama. To mozes uraditi kada udjes u Properties za taj FTP sajt (onako kako sam opisao u gornjem pasusu), samo sto sad ides na karticu Directory Security, pa kliknes na Denied Access radio dugme, i zatim u donjem delu prozora dodas IP adrese sa kojih je dozvoljen pristup (ili kliknes na Allowed Access, pa uneses IP adrese kojima zelis da blokiras pristup)

Odgovor na temu