iT邦幫忙

0

請教關於帳號被鎖定的問題

各位先進好!

小弟有台AD Server,最近常發帳號鎖死的警訊給我。
(帳戶鎖死 (事件識別碼: 539) 在 XXX 的警示)

看事件欄大約從這個月24號起開始發現有某個帳號(以下簡稱AAA)嘗試登入,但是沒有顯示它所登入的網域或是要登入到哪裡。
(請問沒有顯示就是沒有選擇要登入的網域嗎?)

還有小弟的Server是設定成登入失敗50次會被鎖死10分鐘,而AAA就是因為這樣被鎖死,所以我也才收到這些警訊。

我研究了一下發現,它每次間隔5分鐘就嘗試登入(很準確,應該是跑程式),然後會持續一段時間。

接下來25號26號也都有AAA這個帳號的登入失敗訊息,還有鎖死訊息,到27號也就是昨天,又多了另外一個帳號BBB也被鎖死了,不過這次它有顯示要登入到「BBB-PC」,也就是BBB使用的電腦。

因為平常人不會去try到50次,而且時間點也有在凌晨的,所以我認為應該是駭客或者病毒在搞鬼,對此我也上網找了一些資料,不過那些個案都跟我的情況不太一樣,比如說中毒的例子通常會有更多人的帳號被鎖死,而我目前只看到兩個,但是我也不"會"確定是否是駭客就是了。

目前小弟只做了:把鎖死的規則改成每次鎖20分鐘,10次失敗就鎖,這樣!

所以想請教各位先進,可否給小弟一些建議,像遇到這種情況時,我要從哪裡去著手呢?

感謝各位!

12
raytracy
iT邦大神 1 級 ‧ 2010-12-28 10:19:59
最佳解答

找出來源是哪個 IP, 用防火牆把他封掉....

6
花輪
iT邦大師 1 級 ‧ 2010-12-28 10:31:15

我會先把 AAA & BBB 這兩個帳號 「停用」,然後等那兩位 USER 來找 IT,然後查明原因後看要電她(他)一頓或給(他)她一...機會教育。偷笑

看更多先前的回應...收起先前的回應...
raytracy iT邦大神 1 級 ‧ 2010-12-28 10:38:29 檢舉

這不一定是 User 的錯. 舉例來說, 如果我知道某公司某 User 的 Email 帳號, 而且我又發現該公司有某台加入 Domain 的電腦直接暴露在外, 那我這個陌生人, 就可以利用這台電腦, 以該 User 的 Email ID 當成帳號, 開始進行 Brute force 猜密碼的作業. 這個作業就會導致上述鎖帳號的現象發生.

以上情境, 不一定要有電腦暴露在外, 若電腦本身中了木馬也有可能這樣.

conandexter iT邦研究生 1 級 ‧ 2010-12-28 11:45:19 檢舉

首先感謝各位先進的回應!

我不敢亂停他們的帳號啦 尤其BBB是主管之一說 XDDD

因為AAA和BBB兩者常要跑外勤,所以他們的電腦多半都是關機狀態,在問題發生時,我是沒有親自去查訪,比方說昨天早上9點20分左右BBB的帳號被使用來登入他自己的BBB-PC時,這時的BBB電腦到底有沒有開著? 不過事後問別人好像那時候BBB人的確還沒出門。

所以我要先查AAA和BBB這兩台電腦有沒有中木馬嗎?
再者我要怎麼知道公司中有沒有電腦(所有電腦也包含AAA和BBB的電腦)暴露在外呢?(不好意思,小弟問題一堆~)

現在仔細想想,有配給BBB一條連外網的線(主管嘛 XD),當然也有內網的線用來登入網域收信,搞不好就是他在連外網的時候發生的(就是昨天早上9點20分左右)
,因為這樣也才會顯示登入位置是BBB-PC吧?

而其他的人(包含我),的非主管人事,都得要透過某台伺服器的proxy server才能對外連線,這樣還是有可能會暴露在外嗎?

還有raytracy先進所說的:以該 User 的 Email ID 當成帳號, 開始進行 Brute force 猜密碼的作業...
我也覺得是這樣子,因為最近常能收到一些垃圾信,應該是有人收信的時候亂點什麼的(淚
只要對方知道AAA或者BBB的email address就可以用這個ID去試了,對吧?

最後,我想請問Windows Server 2003的事件欄中的安全性,點開看的到來源的IP和使用的port嗎? 要怎麼看呢?

感謝各位先進!

raytracy iT邦大神 1 級 ‧ 2010-12-28 14:45:29 檢舉

conandexter提到:
最後,我想請問Windows Server 2003的事件欄中的安全性,點開看的到來源的IP和使用的port嗎? 要怎麼看呢?

看不到, 你需要有一台具備完整 Log 紀錄的防火牆, 或是網路側錄器, 才能抓得到這個 IP...

花輪 iT邦大師 1 級 ‧ 2010-12-29 18:36:28 檢舉

raytracy提到:
這不一定是 User 的錯

這我知道,但就算不一定是他的錯,跟他也有關係,讓他自己發現網路不通了來找IT,就是要他知道,且以後要多注意,不然,現在人都是 [一皮天下無難事,反正資安都是 "IT" 的事,我一定要上網!]
當然,若是主管級,就要看他的層級而定,還是會保有彈性的啦..

我要發表回答

立即登入回答