各位先進好!
之前我有開過一樣問題的討論串,因為問題還沒有解決,所以再開,請各位見諒!
http://ithelp.ithome.com.tw/question/10061065
其中,raytracy先進有建議說要有具備完整 Log 紀錄的防火牆, 或是網路側錄器才能抓到對方的IP。
我後來裝了Windows Server 2003 Service Pack 2 32-bit Support Tools,使用其中的nltest來開啟NETLOGON紀錄,然後用nlparse來整理出「輸入密碼錯誤」和「帳號已被鎖定」的部分。
不過卻出現有帳號的「輸入密碼錯誤」為0,但是「帳號已被鎖定」卻有1筆記錄,
小弟的閥閾值是設定為10次錯誤就上鎖每次鎖20分鐘,所以我就猜想,是不是這個NETLOGON紀錄在寫入時會有所遺漏? 請問這個要如何修正呢?
日期 時間 服務 網域\ID 來源 事件
1月11日 13:30:31 SamLogon: Network logon (null)\jerry SBS 輸入密碼錯誤
1月14日 10:51:43 SamLogon: Network logon vincent-PC\vincent VINCENT-PC 帳號已被鎖定
再者使用這個工具,雖能得出是由哪台電腦發出的要求,但是一樣也沒有使用port和IP的資訊,我能夠相信這真的只是內部電腦的問題嗎?(中木馬、蠕蟲等)
從目前NETLOGON紀錄來看能夠排除外部攻擊的可能嗎?
再者有沒有可能其來源會遭到竄改?
正如raytracy先進所說的一台具備完整 Log 紀錄的防火牆,小弟是用中華電信送的FortiGate 60B,請問這台有這種功能嗎? 如果有的話,我是否就能從他的log來看出是否是來自外部攻擊了呢? 詳細的情況是如何呢?
謝謝各位先進!
會不會是POP3 (TCP 110)登入攻擊阿~~
之前還蠻常遇到的...
因為你的AD與Exchange都在同一台。我是Log都發生在郵件伺服器上,再找防火牆連線處理。
後來把不用POP3的菜市場名帳號POP3功能關閉就少很多。
因為都是字典攻擊居多,盡量請User不要直接用英文菜市場名當帳號(例如:加姓氏),公司大頭Email可以用別名處理。
感謝您! 我會努力看看,只不過FG 60B我連不了,所以也很頭痛就算抓到了要怎麼鎖IP,應該可以從ISA防火牆去鎖吧?
以下SSS是我的AD主機 DDD是網域名稱 AAA和BBB是使用者
<pre class="c" name="code">
事件類型: 稽核失敗
事件來源: Security
事件類別目錄: 登入/登出
事件識別碼: 539
日期: 2011/1/10
時間: 下午 02:59:59
使用者: NT AUTHORITY\SYSTEM
電腦: SSS
描述:
登入失敗:
原因: 帳戶已經鎖定
使用者名稱: AAA
網域:
登入類型: 3
登入處理: Advapi
驗證封裝: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名稱: SSS
呼叫者使用者名稱: SSS$
呼叫者網域: DDD
呼叫者登入識別碼: (0x0,0x3E7)
呼叫者處理識別碼: 1588
轉送的服務: -
來源網路位址: -
來源連接埠: -
<pre class="c" name="code">
事件類型: 稽核失敗
事件來源: Security
事件類別目錄: 登入/登出
事件識別碼: 529
日期: 2011/1/10
時間: 下午 03:00:10
使用者: NT AUTHORITY\SYSTEM
電腦: SSS
描述:
登入失敗:
原因: 使用者名稱不明或密碼錯誤
使用者名稱: BBB
網域: BBB-PC
登入類型: 3
登入處理: NtLmSsp
驗證封裝: NTLM
工作站名稱: BBB-PC
呼叫者使用者名稱: -
呼叫者網域: -
呼叫者登入識別碼: -
呼叫者處理識別碼: -
轉送的服務: -
來源網路位址: -
來源連接埠: -
以上是我在SSS也就是我的AD上的事件檢視器中的安全性擷取下來的兩個事件,從這邊來看,可以看出AAA帳號在SSS上使用來登入時失敗被鎖定,而BBB帳號在BBB-PC上使用來登入到BBB-PC時失敗被鎖定。
請問這樣也有可能是您所說的POP3登入攻擊嗎?
因為感覺AAA和BBB兩個帳號的登入模式不一樣,不過這樣很久了,而且非常有規律性,像AAA就是大概每個55分鐘發作一次,每輪發作是每5分鐘登入一次,然後每輪登三次。
而BBB是固定每天某段時間就發作,每次發作就間隔相當短的一直重複登入,然後下次發作就是隔天了。
我會盡可能把我目前發現的現象po上來,感謝calvinkuo先進,也請各位先進能幫幫忙小弟,謝謝大家!
不好意思,請教一下calvinkuo先進,關於OpManager我安裝了之後,執行不起來,也辜不到相關的教學,難道這個電腦不夠好跑不動嗎?
謝謝!
conandexter提到:
因為感覺AAA和BBB兩個帳號的登入模式不一樣,不過這樣很久了,而且非常有規律性,像AAA就是大概每個55分鐘發作一次,每輪發作是每5分鐘登入一次,然後每輪登三次。而BBB是固定每天某段時間就發作,每次發作就間隔相當短的一直重複登入,然後下次發作就是隔天了。
這兩個現象很像是中了木馬, 因為很少有企業用軟體, 會以這樣的頻率來登入.....
raytracy先進您好!
不過小弟有依照爬到的文,安裝重大更新修補KB958644和KB958687,也有安裝微軟的惡意軟體移除工具,掃了一下,什麼都沒發現,也用了趨勢的iClean掃了一下,這次出現了中斷惡意程序1筆,不過還沒研究出要怎麼看是哪一個程序。
如果可以重灌那可能事情會簡單化許多,不過SSS是AD不能重灌,而BBB-PC是主管用的電腦,我一定要確定好才能去動他的電腦。
現階段我可能要先找到底是哪一種木馬,還是哪一種蠕蟲病毒,然後才能找到有效的解毒方法吧? 請問有什麼給小弟的建議呢?
感謝您!
看起來很像 Conficker 病毒或 downadup.gen蠕蟲
client是否開資料夾共用,xp防火牆是否有開?
檢查看看client的工作排程是否寫入不明排程
可以在server上安裝forticlient這套軟體式防火牆來抓攻擊ip
之前公司網芳內流竄這兩隻病毒,一天內要接10幾通幫client解鎖的電話~囧
把有問題的電腦先抓來洗白白(重要資料記得備份)
重新安裝所有的軟體,記得全部使用原版光碟(不要用整合版)
裝上防毒防木馬
更新所有軟體
加入網域鎖本機權限不讓本機再安裝任何軟體
再狠一點鎖可執行程式,其他與工作無關的軟體一律不能執行
這樣再監測看看是不是會有問題
唔~ 上面的SBS這台電腦可是我的AD啊~
不可能洗白白的
有問過主管,看來不管FortiGate 60B的log完不完整都無解了,因為主管忘記帳號密碼而且也確定不讓我reset。
請教各位先進,有沒有什麼防火牆或者網路側錄「軟體」能有比較完整的log,能包含外部連進來的IP還有使用哪個port?
讓我可以比對,進而確定是否來是來自外部的攻擊,或者說可以拿來證明的確是內部的電腦中了毒,不是來自外部,不然主管說什麼都不相信的。
另一方面,也就是如果真的是來自內部的情況,我除了用過微軟的惡意軟體移除工具,趨勢的iclean,機器上的卡巴斯基掃過毒之外,也安裝了微軟的重大更新修補KB958644和KB958687,請問這個方向還能如何著手呢? 有沒有什麼軟體可以推薦的? 還有要如何確定是哪種蠕蟲病毒呢?
我想這次處理得不好的話,我要回家種田了(嘆
希望各位先進能幫幫忙!
感謝各位!
我之前有客戶也是有類似問題,在AD群組內的電腦,會一直不斷的去試AD上的帳號
導致user的連線磁碟機無法使用
我發現的狀況如下:
1.開啟網頁都無法連至防毒軟體及微軟的網站(有中蠕蟲的電腦才會)
2.Windows XP及Windows 2000的系統長期都沒做微軟的windows update
如果你有第1個情況,我認為就是中了蠕蟲了
可以參考這裡
http://web.kaspersky.com.tw/KL-Services/FAQ/Kav2009/kav2009_76.php?faq_name=%B2M%B0%A3Net-Worm.Win32.Kido%BA%F4%B8%F4%C4%AF%C2%CE&faq_no=398&faq_checksum=2792&faq_product=22&faq_id_no=5
下載一個kk.exe的小工具,這個程式會自動掃描所有的磁碟(包含隨身碟)
而且會直接幫你把有問題的檔案刪除
但是這只是治標,要真正解決問題...
1.請user交出所有的隨身碟,掃一次毒
2.再把微軟的漏洞補上
3.可以利用kk的指令,配合AD的方式,強迫user一開機就掃描(時間不會很久)
再主機開分享,把掃描的結果丟到主機上,直接去看log就知道了
至少我在客戶端是這樣搞定的,沒再聽過帳號被鎖主的問題(有也是自己忘記密碼,亂試後被鎖定的)
希望你能成功。
謝謝pentel0515先進! 各位先進好!
我昨天(1/25)有使用KK來掃SSS結果出現有infected jobs兩筆,請問這是指有工作排程被感染了嗎? 順便一題我的SSS是裝SBS 2003,我有用了各位先進所提到的情形,裝了Bitdefender還有賽門鐵克的downadup解毒針,也都沒有掃出什麼東西。
因為之前篩選條件只設定539也就是被鎖定的事件,所以沒發現,直到今天把篩選條件改成所有稽核失敗的情形,我才發現一個可怕的事實,在1/21(五)和1/23(日)這兩天一直被try帳號,有數字像111 222 333 12345,菜市場名像honey andy hello,還有常用系統名稱root admin test sys等,請問我的SSS是被字典攻擊,還是中了什麼詭異的毒?因為我只觀察最近幾天,只有發現星期五和星期日有這樣的情形,很奇怪為什麼星期六沒有?
我想jerry這個菜市場名就是因為這樣被try帳號成功,才會變成每5分鐘嘗試登入,而且會持續很久。
至於vincent這個使用者我有確認過了,只有他人在公司而且vincent-pc這台電腦有開的時候發作,而且每次都是在上午10:49左右發作,每回發作就會2秒之內嘗試登入多次,大約是20次以內(假設安全性沒有記漏掉的話),這點跟jerry的情況不太一樣,而且他是裝Win 7 x64的OS,我在微軟的網站上沒有找到安全性更新for這個版本的載點,我想這麼新的OS要中也是中很新的毒吧? 請問關於這點我應該怎麼處理呢? 重灌感覺也只是治標。
然後昨天(1/25)還有另一位使用者,叫他CCC好了,他有兩台電腦一台筆電裝XP SP3,一台桌機裝VISTA SP2,而且兩台都有中獎的紀錄,大約是在上午9:00~10:00這段時間左右發作的,發作的情況跟vincent的很像,都是指短時間之內不斷try密碼,只是發作的時間點不同,我當下馬上過去處理,目前有先幫他掃毒,至於有沒有掃到什麼我跟本人確認過再po上來。
昨天我還有做一件事情,就是把所有可疑的電腦的MountPoints2都改為Everyone皆不能存取,不過我想這只能保證以後不會再中USB病毒,原本的毒沒清掉他還是會再發作對吧?
最後,看到各位先進這麼熱心的幫忙,小弟非常感動,十分感激各位!
謝謝! 再謝謝!
基本上,我會建議你....公司每台電腦都用kk掃一次(你有用過應該知道,其實他不像防毒軟體掃描整個硬碟的檔案)
因為這個蠕蟲會攻擊公司區網內所有的電腦,然後所有的電腦再一起來try主機的帳號,你只針對1~2台電腦做掃描是沒有用的
感謝您! 您的建議我會實行的!
不過請問您已經知道這是什麼蠕蟲了嗎? 或者說大概可能是哪一種呢?
今天剛好曾經發生過帳號鎖死的電腦,他們的使用者都不在公司,所以今天它們應該是不會發作,不過我還有注意到一件事情,上次也有一台電腦有發作過,同樣是Win 7的OS,等他們回公司,我會特別處理。
還有一件事情我想請教一下,我猜jerry就是因為SSS上的蠕蟲try帳號時try對了有這個帳號,才變成開始每5分鐘try密碼,應該沒錯吧?
而vincent和CCC兩個人的電腦上的蠕蟲是直接有帳號,所以就開始try密碼,但是也不是隔5分鐘一次,短時間try N次,這模式跟前者不一樣。
所以「jerry在SSS上發作」相較於「vincent在vincent-PC和CCC在CCC-PC上發作」,我想這兩種情況是否分別是不同的蠕蟲病毒呢?
最後,因為我原本的環境是內部收信使用outlook,外部是使用OWA收信,所以用不到POP3,但是因為之前的系統不是我建構的,我又不能進去FortiGate裡頭看,不過我有在外部使用telnet來連SSS的POP3 port發現可以通耶(雖然沒畫面),我想這是不是就表示他POP3 port真的有開? 所以有可能是被POP3字典攻擊嗎?
感謝您!
FortiGate若是用資安艦隊的方案,他們會留一組adminsl帳號,請他們登入開一組新的帳號密碼。
不然,試試admin密碼空白看看.... (出廠值)
若用不到POP3可以在Exchange那邊關掉服務,或把ISA、FortiGate轉送POP3的規則停用或移除。
我個人建議你借重硬體的監控系統來看, 我是用 nus-ms1500 utm 可以清楚記錄是外部還是內部的攻擊, 所以我建議你做一個簡報向公司申請設備費用, 但是不便宜喔, 大約在七萬元, 你可以上裕笠網站看一下
另外, 你可以自己用 linux 架設防火牆來看, 有一套免費的叫 Untangle的也可以用, 先用免費的找出問題, 再採購設備
FortiGate 60B應該也有對內對外的監控, 如果你的每台電腦都是固定 ip 應該是可以找出哪一台電腦發生問題, 如果是半夜發生, 應該可以確定是外部了, 我公司在白天是開放外部連線, 晚上只開放 110/25/21/20的 port, 因為 mail server 在公司, 你的問題不花錢也可以找出來, 但是是需要時間的, 我不了解你的技術面到什麼程度, 也無法提供你更有效的方式, 還有你公司的環境細節, 這些你都沒有詳述, 很難幫你找出來, 光靠 win server log 也是很困難的
另外你也可以上網下載 nod32或卡巴的30天試用版來找出中毒的電腦, 先用這幾種方式吧
1.所有電腦使用固定 ip
2.安裝防毒軟體
3.下載 tcpview, 在每一台電腦看看有沒有不正常的連線
4.檢查啟動程式有沒有載入奇怪的程式
5.檢查服務有沒有載入奇怪不明的服務
先這樣了