各位先進好!
小弟有台AD Server,最近常發帳號鎖死的警訊給我。
(帳戶鎖死 (事件識別碼: 539) 在 XXX 的警示)
看事件欄大約從這個月24號起開始發現有某個帳號(以下簡稱AAA)嘗試登入,但是沒有顯示它所登入的網域或是要登入到哪裡。
(請問沒有顯示就是沒有選擇要登入的網域嗎?)
還有小弟的Server是設定成登入失敗50次會被鎖死10分鐘,而AAA就是因為這樣被鎖死,所以我也才收到這些警訊。
我研究了一下發現,它每次間隔5分鐘就嘗試登入(很準確,應該是跑程式),然後會持續一段時間。
接下來25號26號也都有AAA這個帳號的登入失敗訊息,還有鎖死訊息,到27號也就是昨天,又多了另外一個帳號BBB也被鎖死了,不過這次它有顯示要登入到「BBB-PC」,也就是BBB使用的電腦。
因為平常人不會去try到50次,而且時間點也有在凌晨的,所以我認為應該是駭客或者病毒在搞鬼,對此我也上網找了一些資料,不過那些個案都跟我的情況不太一樣,比如說中毒的例子通常會有更多人的帳號被鎖死,而我目前只看到兩個,但是我也不"會"確定是否是駭客就是了。
目前小弟只做了:把鎖死的規則改成每次鎖20分鐘,10次失敗就鎖,這樣!
所以想請教各位先進,可否給小弟一些建議,像遇到這種情況時,我要從哪裡去著手呢?
感謝各位!
我會先把 AAA & BBB 這兩個帳號 「停用」,然後等那兩位 USER 來找 IT,然後查明原因後看要電她(他)一頓或給(他)她一...機會教育。
這不一定是 User 的錯. 舉例來說, 如果我知道某公司某 User 的 Email 帳號, 而且我又發現該公司有某台加入 Domain 的電腦直接暴露在外, 那我這個陌生人, 就可以利用這台電腦, 以該 User 的 Email ID 當成帳號, 開始進行 Brute force 猜密碼的作業. 這個作業就會導致上述鎖帳號的現象發生.
以上情境, 不一定要有電腦暴露在外, 若電腦本身中了木馬也有可能這樣.
首先感謝各位先進的回應!
我不敢亂停他們的帳號啦 尤其BBB是主管之一說 XDDD
因為AAA和BBB兩者常要跑外勤,所以他們的電腦多半都是關機狀態,在問題發生時,我是沒有親自去查訪,比方說昨天早上9點20分左右BBB的帳號被使用來登入他自己的BBB-PC時,這時的BBB電腦到底有沒有開著? 不過事後問別人好像那時候BBB人的確還沒出門。
所以我要先查AAA和BBB這兩台電腦有沒有中木馬嗎?
再者我要怎麼知道公司中有沒有電腦(所有電腦也包含AAA和BBB的電腦)暴露在外呢?(不好意思,小弟問題一堆~)
現在仔細想想,有配給BBB一條連外網的線(主管嘛 XD),當然也有內網的線用來登入網域收信,搞不好就是他在連外網的時候發生的(就是昨天早上9點20分左右)
,因為這樣也才會顯示登入位置是BBB-PC吧?
而其他的人(包含我),的非主管人事,都得要透過某台伺服器的proxy server才能對外連線,這樣還是有可能會暴露在外嗎?
還有raytracy先進所說的:以該 User 的 Email ID 當成帳號, 開始進行 Brute force 猜密碼的作業...
我也覺得是這樣子,因為最近常能收到一些垃圾信,應該是有人收信的時候亂點什麼的(淚
只要對方知道AAA或者BBB的email address就可以用這個ID去試了,對吧?
最後,我想請問Windows Server 2003的事件欄中的安全性,點開看的到來源的IP和使用的port嗎? 要怎麼看呢?
感謝各位先進!
conandexter提到:
最後,我想請問Windows Server 2003的事件欄中的安全性,點開看的到來源的IP和使用的port嗎? 要怎麼看呢?
看不到, 你需要有一台具備完整 Log 紀錄的防火牆, 或是網路側錄器, 才能抓得到這個 IP...
raytracy提到:
這不一定是 User 的錯
這我知道,但就算不一定是他的錯,跟他也有關係,讓他自己發現網路不通了來找IT,就是要他知道,且以後要多注意,不然,現在人都是 [一皮天下無難事,反正資安都是 "IT" 的事,我一定要上網!]。
當然,若是主管級,就要看他的層級而定,還是會保有彈性的啦..
會不會時網內有 Win32/Conficker 蠕蟲病毒或是變種。
http://support.microsoft.com/kb/962007/zh-tw#Manualsteps
参考看看:
http://www.googlesyndicatedsearch.com/u/blogbus?hl=zh-CN&ie=utf-8&newwindow=1&q=site:gnaw0725.blogbus.com+%E5%9F%9F%E5%B8%90%E5%8F%B7%E8%87%AA%E5%8A%A8%E9%94%81%E5%AE%9A+%E5%9F%9F%E5%B8%90%E5%8F%B7%E8%87%AA%E5%8A%A8%E8%A2%AB%E9%94%81+%E5%9F%9F%E5%B8%90%E6%88%B7%E8%A2%AB%E9%94%81%E5%AE%9A