iT邦幫忙

0

關於事件檢視器中的安全性~

各位先進好!

下面這個是我從「事件檢視器→安全性」的其中一項擷取下來的:

事件類型:	稽核失敗
事件來源:	Security
事件類別目錄:	登入/登出 
事件識別碼:	539
日期:		2011/1/10
時間:		上午 11:26:00
使用者:		NT AUTHORITY\SYSTEM
電腦:	BBB
描述:
登入失敗:
 	原因:		帳戶已經鎖定
 	使用者名稱:	AAA
 	網域:	AAA-PC
 	登入類型:	3
 	登入處理:	NtLmSsp 
 	驗證封裝:	NTLM
 	工作站名稱:	AAA-PC
 	呼叫者使用者名稱:	-
 	呼叫者網域:	-
 	呼叫者登入識別碼:	-
 	呼叫者處理識別碼: -
 	轉送的服務: -
 	來源網路位址:	-
 	來源連接埠:	-


請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。

上面的BBB就是我的AD server
而AAA是一名使用者 AAA-PC是他在用的電腦
小弟的server最近一直被攻擊

上面的這行「工作站名稱: AAA-PC」
這是表示登入到AAA-PC這台電腦嗎?
也就是說對方是透過BBB進來攻擊AAA-PC嗎?

想請問一下這個表大致上要怎麼看呢? 還要注意哪些地方?

感謝!

1 個回答

6
fishk
iT邦大師 1 級 ‧ 2011-01-16 13:37:35
最佳解答

指的是
有人(或木馬程式)利用AAA-PC工作站
以AAA帳號意圖登入BBB這部AD server

但失敗而且帳號被鎖定.

處理方式:
1.問問AAA-PC這部電腦的使用者是否曾用AAA帳號登入,但不成功.
2.如果沒有,可以查查看這部電腦是否有特定的程式執行後,才會試著用AAA登入.
3.如果沒有,就看看是否中了木馬才會導致這個狀況發生.

log的說明可看
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=539

唉,關於這個問題,我能做的都做了,可是還是解決不了,剛剛被我們老闆釘了。

以上抱怨結束!

以下SSS是我的AD主機 DDD是網域名稱 AAA和BBB是使用者

<pre class="c" name="code">
事件類型:	稽核失敗
事件來源:	Security
事件類別目錄:	登入/登出 
事件識別碼:	539
日期:		2011/1/10
時間:		下午 02:59:59
使用者:		NT AUTHORITY\SYSTEM
電腦:	SSS
描述:
登入失敗:
 	原因:		帳戶已經鎖定
 	使用者名稱:	AAA
 	網域:
 	登入類型:	3
 	登入處理:	Advapi  
 	驗證封裝:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 	工作站名稱:	SSS
 	呼叫者使用者名稱:	SSS$
 	呼叫者網域:	DDD
 	呼叫者登入識別碼:	(0x0,0x3E7)
 	呼叫者處理識別碼: 1588
 	轉送的服務: -
 	來源網路位址:	-
 	來源連接埠:	-





<pre class="c" name="code">
事件類型:	稽核失敗
事件來源:	Security
事件類別目錄:	登入/登出 
事件識別碼:	529
日期:		2011/1/10
時間:		下午 03:00:10
使用者:		NT AUTHORITY\SYSTEM
電腦:	SSS
描述:
登入失敗:
 	原因:		使用者名稱不明或密碼錯誤
 	使用者名稱:	BBB
 	網域:		BBB-PC
 	登入類型:	3
 	登入處理:	NtLmSsp 
 	驗證封裝:	NTLM
 	工作站名稱:	BBB-PC
 	呼叫者使用者名稱:	-
 	呼叫者網域:	-
 	呼叫者登入識別碼:	-
 	呼叫者處理識別碼:	-
 	轉送的服務:	-
 	來源網路位址:	-
 	來源連接埠:	-

謝謝fishk先進! 小弟把事情敘述的仔細一點,如果我的理解有錯,還請各位先進能指導一下小弟,感謝!

小弟原本也是認為SSS主機中了蠕蟲,所以才會發生上面AAA這個帳號被拿來嘗試登入的情形。

然後有依照爬到的文,安裝重大更新修補KB958644和KB958687,也有安裝微軟的惡意軟體移除工具,掃了一下,什麼都沒發現,也用了趨勢的iClean掃了一下,這次出現了中斷惡意程序1筆,不過還沒研究出要怎麼看是哪一個程序。

上面也沒顯示出是使用哪個port,小弟經驗不夠,CurrPorts看半天也看不出所以然,不然確定是哪個程序,應該可以解決目前的問題吧?

想確定是否不是來自外面的攻擊,想到了可以看SSS前面掛著的實體防火牆的log,但是帳號密碼老闆說忘記了,我也不能把那台給reset。

另一台BBB使用者的電腦BBB-PC,我也猜是中了蠕蟲,不過因為BBB是主管,我可能要先確定問題才能去動他的電腦,這也很尷尬啊~

想請問各位先進,小弟還有活路可以走嗎? 接下來我要何去何從呢?

感恩!

fishk iT邦大師 1 級 ‧ 2011-02-08 12:23:17 檢舉

在Server端裝個人防火牆或sniffer工具(如:Ethereal, 教學可看http://chris701203.pixnet.net/blog/post/21891886)看看.

我要發表回答

立即登入回答