Forum

Event ID 4776 / Sou...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Event ID 4776 / Source Workstation

8 Yazılar
2 Üyeler
2 Reactions
5,764 Görüntüleme
(@keremgoktay)
Gönderiler: 118
Üye
Konu başlatıcı
 

Merhaba,

Belli bir süredir, bizim yapıya uygun olmayan bir pc sürekli şifre denemesi yapıyor.

DC lerde ilgili makina source.workstation olarak görüyoruz fakat makina domainde ve ipscan de çıkmadığı için makinayı bulamıyorum.

CMD'den nltest /dbflag:0x2080ffff komutu ile netlogon debug aldığımda 

01/09 08:47:08 [LOGON] [2272] DYG: SamLogon: Transitive Network logon of xxx\user from JCIFS11_167_91 (via SQLMAKINASI) Entered
01/09 08:47:08 [LOGON] [2272] DYG: SamLogon: Transitive Network logon of xxx\user from JCIFS11_167_91 (via SQLMAKINASI) Returns 0xC0000234

şeklinde logları görüyorum. Fakat ilgili makinada bunla ilgili bir task scheduler, sql de bir user login bulunmuyor. Aynı şekilde farklı farklı fileserverda vb sunuculardanda geliyor.

Event viewer a düştüğü anda wireshark ı eşleştirdim. filter'I kerberos olarakta yaptım fakat anormal bir makina auth failed olarak wiresharkta gözükmüyor.

DC eventlarına source IP ya da source mac bastırma yönte mi var mı? Ya da bu tarz bir problemi nasıl çözebilirim?

 

 
Gönderildi : 09/01/2020 14:05

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Son durum nedir?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 11/01/2020 20:10

(@keremgoktay)
Gönderiler: 118
Üye
Konu başlatıcı
 

Aynı devam.

 
Gönderildi : 13/01/2020 14:02

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Case aç abi 🙂

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 13/01/2020 14:30

(@keremgoktay)
Gönderiler: 118
Üye
Konu başlatıcı
 

Selamlar,

Şu ana kadar bulabildiğimiz içerideki bizim sistemlerden isteklerin gelmediği gibi yönde.

 

Microsoft teknikteki arkadaşta,

Nltest /DBFlag:2080FFFF komutu ile nt servisin debug loggingi açtı. %windir%\debug\netlogon.log klasöründeki log dosyasına baktı ve aynı satırları gördü.

Tam bu geldiği anda sysinternals tarafından proccess monitor ile aynı uygulamadan geldiğini bulmaya çalıştı, fakat başarılı olamadık. Ondan sonra bu dışarıdan gelebiliyor olabiliyor mu? Bir backup ürünü ya da bir siem gibi şeklinde belirtince ibreyi qradar'a çevirdim.
QQradar tarafında ilgili makina event readerdan çekebilsin şeklinde ayarlıydı, ilgili assete girip başka username ve şifre yarattım, o username ve şifre ile yapınca eski hatalar gelmeye devam etti. Bu sefer qradara girdiğim şifreyi değiştirip kayıt ettim.
Artık qradardaki olan username de diğer hatalar gelmeye başladı, yani microsofttaki elemanda bende kendimizce qradardan bir şekilde bu bilgiler geliyor gibi düşündük,

 

Qradar üzerine yoğunlaşacağız şimdi, durumla ilgili bilgilendirmeye devam, bu kısa serüvende benimle birlikte olup sıcak çayınız eşliğinde bu satırları okuduğunuz için teşekkür eder, esenlikler dilerim.

 

 
Gönderildi : 07/02/2020 20:41

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Süper kıymetli bir bilgi, bakalım sonuç ne olacak?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 08/02/2020 16:24

(@keremgoktay)
Gönderiler: 118
Üye
Konu başlatıcı
 

Qradar GUI'sel bir problemmiş. Sonunda inandırabildik. GUI'den bir şekilde cache li kalıyormuş, CLI tarafından şifreler tekrardan değişince düzeldi problem.

 
Gönderildi : 26/06/2020 11:26

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Bilgi için teşekkürler.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 26/06/2020 15:44

Paylaş: