Похож на Вас, пытаются сделать аутентификацию "двойного транзитного участка". Обычно это происходит в контексте бэкенда сервис SQL, но он мог относиться к отдельному сервису, работающему на том же сервере, я думаю (я не на 100% уверен хотя). Поиск в MSKB для того термина, "удваивают транзитный участок" и Вы получите несколько документов, которые объясняют, как установить делегацию, чтобы позволить этому работать. Вот один для начала, http://support.microsoft.com/kb/326985
То, в чем Вы нуждаетесь, - чтобы сервер IIS был установлен для "Разрешенной Делегации". Когда пользователь аутентифицируется с помощью Windows Integrated Authentication, они должны получить билет Kerberos (это НЕ будет работать, если Вы получите аутентификацию NTLM).
Чтобы сделать делегацию, необходимо будет добавить SPN к серверу. Удостоверьтесь, что пользователи добираются до веб-страницы с фактическим FQDN, для которого сервер имеет SPN в AD. Сервисное имя принципала (SPN) - то, что пользователя агент Kerberos будет использовать для создания правильного билета Kerberos, который позволит серверу IIS исполнять роль пользователя когда это руки прочь от запроса к следующему сервису.
Извините, я понятия не имею, каково это, однако, у Вас есть более важные проблемы прямо сейчас.
Сколько машин делает это? Вы разъединили их всех от сети? (и в противном случае почему нет?)
Можно ли найти доказательство каких-либо учетных записей домена поставленным под угрозу (учетные записи особенно администратора домена)
Я могу понять Вас, не желая создать Ваши рабочие столы снова, но если Вы не делаете, Вы не можете быть уверены, что уберете машины.
Первые шаги:
Затем необходимо выполнить некоторую судебную экспертизу на известных устройствах с неисправностями, чтобы попытаться проследить то, что произошло. После того как Вы знаете это, Вы получаете лучшую возможность знания, каков объем этого нападения. Используйте корневой набор revealer, возможно, даже отобразите жесткий диск перед уничтожением любого доказательства. Живые CD Linux с поддержкой NTFS могут быть очень полезными здесь, поскольку они должны позволить Вам находить то, что мог скрывать корневой набор.
Вещи рассмотреть:
Править: Попытка дать больше информации является трудной, поскольку она действительно зависит от того, что Вы находите, но находиться в аналогичной ситуации несколько лет назад, действительно необходимо не доверить всему, особенно машины и учетные записи, которые Вы знаете для взлома.
Это могло быть что-либо от L0phtCrack до THC-Гидры или даже пользовательски кодированного приложения, хотя Ваше решение AV должно было забрать известные приложения.
На данном этапе необходимо определить все зараженные системы, изолировать их (VLAN, и т.д.), и содержать и уничтожить вредоносное программное обеспечение.
Вы связались со своим I.T. Служба безопасности уже?
Наконец, я понимаю Вас, не желая восстановить, но в этой точке, (с небольшими данными, которые Вы дали), я сказал бы, что ордеры риска восстанавливают.
- Josh
Попытайтесь запустить другую программу получения, чтобы удостовериться, что результаты подтверждают то, что видит Wireshark. Wireshark имел проблемы в прошлом декодировании трафик Kerberos. Удостоверьтесь, что Вы видите, не отвлекающий маневр.
Вы видите какой-либо другой "anomolies" в получении?