Forum

Şifre denemesi hak.
 
Bildirimler
Hepsini Temizle

Şifre denemesi hak.

4 Yazılar
2 Üyeler
0 Reactions
568 Görüntüleme
(@marufarslan)
Gönderiler: 167
Reputable Member
Konu başlatıcı
 
Belli aralıklar ile server da bu log oluşmaktadır.
Bunu nasıl bulurum. Fikri olan var mı?
Exchange 2003 kullanmaktayız. 
 
 
 
Event Type:     Failure Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:       529
Date:           27.11.2014
Time:           15:56:18
User:           NT AUTHORITY\SYSTEM
Computer:       EXSERVER
Description:
Logon Failure:
     Reason:      Unknown user name or bad password
     User Name:    ikadmin
     Domain:      
     Logon Type:    3
     Logon Process:   Advapi  
      Authentication Package:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     Workstation Name:     EXSERVER
     Caller User Name:     EXSERVER$
     Caller Domain:   SBS
     Caller Logon ID:  (0x0,0x3E7)
     Caller Process ID: 1684
     Transited Services: -
     Source Network Address:  -
     Source Port:    -
 
 

"Dalgasız denizde, herkes kaptandır."

 
Gönderildi : 27/11/2014 19:40

(@OzcanSAHIN)
Gönderiler: 198
Estimable Member
 

"ikadmin" hesabini kontrol ettiniz mi ?

 
Gönderildi : 27/11/2014 21:16

(@marufarslan)
Gönderiler: 167
Reputable Member
Konu başlatıcı
 

o kullanıcı kapalı olsada, yine atak var. Kaspersky ile virüs tarama vs yaptık birşey bulamadık.

Bazen AD olmayan kullanıcı adları içinde atak oluşuyor.

Örnek Admin bir kullanıcı ile deniyor. fakat sistemde o şekilde kullanıcı yok.

 

"Dalgasız denizde, herkes kaptandır."

 
Gönderildi : 27/11/2014 22:45

(@OzcanSAHIN)
Gönderiler: 198
Estimable Member
 

Oncelikle geçtigimiz gunlerde çikan kb3011780 isimli patch'i once DC'lere sonra diger makinalarinza geçmenizi oneririm.

MS sistemlerdeki kerberos açigi domainde yetkisiz kullanicilarin login olabilmesine imkan veriyor.

http://arstechnica.com/security/2014/11/unscheduled-windows-update-kills-critical-security-bug-under-active-attack/

Yapinizi bilmiyorum ama wireshark gibi bir paket analiz programi ile server trafigini bir sure dinleip bir dosyaya kaydedip inceleyebilirsiniz.

Group policy' den "Audit account logon events" aktif ederseniz belki log'larda daha fazla bilgi olabilir.

 

 

 

 
Gönderildi : 27/11/2014 23:34

Paylaş: