Доброго времени суток!
Зашел на один из своих серверов по RDP – заметил странную вещь, сервер был почему то перезагружен. ОС Windows 2008 R2 Перед этим было вот что:

Выполнена попытка входа в систему с явным указанием учетных данных. (событие 4647)

Субъект:

ИД безопасности: SRV\Администратор
Имя учетной записи: Администратор
Домен учетной записи: SRV
Код входа: 0x26538e
GUID входа: {00000000-0000-0000-0000-000000000000}

Были использованы учетные данные следующей учетной записи:

Имя учетной записи: usr

Домен учетной записи: SRV
GUID входа: {00000000-0000-0000-0000-000000000000}

Целевой сервер:

Имя целевого сервера: Computer
Дополнительные сведения: Computer
Сведения о процессе:
Идентификатор процесса: 0x4
Имя процесса:
Сведения о сети:
Сетевой адрес: -
Порт:


Зашел на секунду и вышел. После этого пошли события 4907 Аудит. В систем логе кроме как выключения сетевых интерфейсов в этот момент больше ничего не нашел.
Как-то жутко стало, что происходит то?
Как вообще понять почему сервер был перезагружен? Из логов это не совсем очевидно. Моя паранойя подсказывает, что кто-то пробрался и пытается ботоводить.

Заранее спасибо!

Добрый день. Что на сервере крутится? Сервер виртуальный или железный? Фаерволы есть? Кто такой usr? Места на жестком диске хватает? По каким признакам определили, что сервер перезагружался?

Drinkins, добрый день!
Что на сервере крутится? »
На сервере крутиться база MS SQL 2012 и сервер приложения.

Сервер виртуальный или железный? »
Железный.

Фаерволы есть? »
Есть, виндовый, но к сожалению 1433 открыт во вне. Китайские боты долбили, но я все их диапазоны зафильтровал.

Кто такой usr? »
Только сейчас присмотрелся. usr это пользователь на моем рабочем пк. Сomputer это и есть мой рабочий пк, у меня на нем (на рабочем пк) создана шара, на которую с сервера можно зайти. Так странно.

Места на жестком диске хватает? »
Хватает.

По каким признакам определили, что сервер перезагружался? »
Был сброшен аптайм и были закрыты все окна и приложения с момента последнего сеанса RDP.

Может быть такое, что ребутнулся из-за какой-то хардовой проблемы...

А для безопасности я бы отключил доступ к RDP всем, кроме админа, сам RDP перекинуть на нестандартный порт, а сервер добавить в консоль управления домен контроллера, чтоб администрировать сервер не заходя на него.

Поищите событие 1074 в системном логе событий, а также по ключевому слову "shut". Первое событие - показывает кто инициирует плановые рестарты; поиск по слову - ошибки из-за внеплановых рестартов.