Forum
Bildirimler
Hepsini Temizle
Exchange Server
4
Yazılar
2
Üyeler
0
Reactions
544
Görüntüleme
Konu başlatıcı
Belli aralıklar ile server da bu log oluşmaktadır.
Bunu nasıl bulurum. Fikri olan var mı?
Exchange 2003 kullanmaktayız.
Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 27.11.2014
Time: 15:56:18
User: NT AUTHORITY\SYSTEM
Computer: EXSERVER
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: ikadmin
Domain:
Logon Type: 3
Logon Process: Advapi
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Workstation Name: EXSERVER
Caller User Name: EXSERVER$
Caller Domain: SBS
Caller Logon ID: (0x0,0x3E7)
Caller Process ID: 1684
Transited Services: -
Source Network Address: -
Source Port: -
"Dalgasız denizde, herkes kaptandır."
Gönderildi : 27/11/2014 19:40
"ikadmin" hesabini kontrol ettiniz mi ?
Gönderildi : 27/11/2014 21:16
Konu başlatıcı
o kullanıcı kapalı olsada, yine atak var. Kaspersky ile virüs tarama vs yaptık birşey bulamadık.
Bazen AD olmayan kullanıcı adları içinde atak oluşuyor.
Örnek Admin bir kullanıcı ile deniyor. fakat sistemde o şekilde kullanıcı yok.
"Dalgasız denizde, herkes kaptandır."
Gönderildi : 27/11/2014 22:45
Oncelikle geçtigimiz gunlerde çikan kb3011780 isimli patch'i once DC'lere sonra diger makinalarinza geçmenizi oneririm.
MS sistemlerdeki kerberos açigi domainde yetkisiz kullanicilarin login olabilmesine imkan veriyor.
Yapinizi bilmiyorum ama wireshark gibi bir paket analiz programi ile server trafigini bir sure dinleip bir dosyaya kaydedip inceleyebilirsiniz.
Group policy' den "Audit account logon events" aktif ederseniz belki log'larda daha fazla bilgi olabilir.
Gönderildi : 27/11/2014 23:34
