Forum

X509N kullanıcı log...
 
Bildirimler
Hepsini Temizle

[Çözüldü] X509N kullanıcı logon fail hatası (event id: 4768)

10 Yazılar
3 Üyeler
0 Reactions
2,576 Görüntüleme
(@ismailcetin)
Gönderiler: 139
Estimable Member
Konu başlatıcı
 

Merhaba, ADAudit log maili sürekli uyarı veriyor. Exchange serverden dc server üzerine bir istek bu. Araştırdığıma göre kullanıcı yanlış parola denemesi olarak geçiyor. 0x6 olarak geçtiği için. Kullanıcı bilgisi alamadığımız için, hangi kullanıcıdan neden kaynaklı çözemedim. DC srv üzerinden aldığım hata hakkında event bilgisi aşağıdadır. Hata hakkında aldığımız mail ve log bilgilerinide ekliyorum.

uyarı mailleri
0x6 anlamı
hatauyarı2
x509n hatası

 

 

 

- System
   
- Provider
      [ Name] Microsoft-Windows-Security-Auditing
      [ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}
   
  EventID 4768
   
  Version 0
   
  Level 0
   
  Task 14339
   
  Opcode 0
   
  Keywords 0x8010000000000000
   
- TimeCreated
      [ SystemTime] 2022-05-31T16:35:58.372542200Z
   
  EventRecordID 62371381
   
  Correlation
   
- Execution
      [ ProcessID] 792
      [ ThreadID] 11472
   
  Channel Security
   
  Computer DC.alanadı.com.tr
   
  Security
- EventData
    TargetUserName X509N:<S>C=US,S=Washington,L=Redmond,O=Microsoft Corporation,CN=mail.protection.outlook.com
    TargetDomainName alanadı.COM.TR
    TargetSid S-1-0-0
    ServiceName krbtgt/alanadı.COM.TR
    ServiceSid S-1-0-0
    TicketOptions 0x40810010
    Status 0x6
    TicketEncryptionType 0xffffffff
    PreAuthType -
    IpAddress ::ffff:exchange srv ip
    IpPort 34299
    CertIssuerName  
    CertSerialNumber  
    CertThumbprint  
 
Gönderildi : 01/06/2022 11:26

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33366
Illustrious Member Yönetici
 

OWA açıktır oradan şifre denemesi yapıyorlardır.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 01/06/2022 12:12

(@ismailcetin)
Gönderiler: 139
Estimable Member
Konu başlatıcı
 

@hakanuzuner owa yı dışarıya kapattığımızda da sorun devam ediyor.

 
Gönderildi : 01/06/2022 12:18

(@ismailcetin)
Gönderiler: 139
Estimable Member
Konu başlatıcı
 

@hakanuzuner 
Hakan Hocam biraz erken konuştum sanırım. Biz dns üzerinden owa yönlendirmesini kaldırarak denemiştim. Ama ip üzerinden gelebileceklerini hesaba katmamıştım. Firewall üzerinden 443 portunu kapattığımızda loglar şuan için durmuş görünüyor. 

 

Fakat, bu bir sızma girişimi midir, yoksa sertifika hatası gibi bir durum mudur ondan emin olamadım. Öneriniz var mı?

 
Gönderildi : 01/06/2022 12:58

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33366
Illustrious Member Yönetici
 

Zaten sen ısrar etseydin bu durumda içeriden saldırıyorlar diyecektim 🙂

Normal bir durum, genel tarama yapıyorlar, bu nedenle pek çok müşterimiz MFA ürünü kullanıyor veya ona bir tane WAF ürünü alıyor.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 01/06/2022 14:14

(@ismailcetin)
Gönderiler: 139
Estimable Member
Konu başlatıcı
 

@hakanuzuner cevap için tşkler Hakan Hocam ? 

 
Gönderildi : 01/06/2022 15:45

(@ismailcetin)
Gönderiler: 139
Estimable Member
Konu başlatıcı
 

@hakanuzuner gene erken cevap veren ben 🙂 şuan sorun devam ediyor malesef. exchange server 'ı dışarıya tamamen gateway kaldırarak kapattık. Bu şekilde en azından içerden mi, yoksa dışardan mı anlayacağız bakalım.

 
Gönderildi : 01/06/2022 15:57

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33366
Illustrious Member Yönetici
 

Aynen, içeriden de olabilir, sonuçta birisi şifre deniyor çok net.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 02/06/2022 00:07

(@ismailcetin)
Gönderiler: 139
Estimable Member
Konu başlatıcı
 

@hakanuzuner smtp "25" portundan gelen taleplermiş. 25 nolu port yönlendirmesini kaldırdığımızda erişim talebi almıyoruz. 

 

Ama kullanıcı olarak:aşağıdaki bilgiyi veriyor. Biz hybrid yapı kullanıyoruz. Sanki online exchange den, on-prem exchange üzerine gelen bir talep gibi düşünüyoruz.

X509N:C=US,S=Washington,L=Redmond,O=Microsoft Corporation,CN=mail.protection.outlook.com

 

Ayrıca on-prem exchange üzerinde oluşturulan lokal mailbox hesapları mail gönderebiliyor, fakat mail alamıyor.

Bu ileti 3 yıl önce ismail cetin tarafından düzenlendi
 
Gönderildi : 02/06/2022 15:20

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4595
Co-Helper
 

Lokal cihazlara kurduğunuz hesapları tarayınız yakın zamanda basic auth kapatılmaya başlandı sorun yaşayan bir cihazdan atak gibi görünüyor olabilir.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 02/06/2022 17:34

Paylaş: