iT邦幫忙

0

請教關於AD帳號被鎖死的問題

各位先進好!

之前我有開過一樣問題的討論串,因為問題還沒有解決,所以再開,請各位見諒!
http://ithelp.ithome.com.tw/question/10061065
其中,raytracy先進有建議說要有具備完整 Log 紀錄的防火牆, 或是網路側錄器才能抓到對方的IP。

我後來裝了Windows Server 2003 Service Pack 2 32-bit Support Tools,使用其中的nltest來開啟NETLOGON紀錄,然後用nlparse來整理出「輸入密碼錯誤」和「帳號已被鎖定」的部分。

不過卻出現有帳號的「輸入密碼錯誤」為0,但是「帳號已被鎖定」卻有1筆記錄,
小弟的閥閾值是設定為10次錯誤就上鎖每次鎖20分鐘,所以我就猜想,是不是這個NETLOGON紀錄在寫入時會有所遺漏? 請問這個要如何修正呢?

日期	 時間	   服務	                    網域\ID	        來源	    事件
1月11日	 13:30:31  SamLogon: Network logon  (null)\jerry        SBS	    輸入密碼錯誤
1月14日	 10:51:43  SamLogon: Network logon  vincent-PC\vincent  VINCENT-PC  帳號已被鎖定					

再者使用這個工具,雖能得出是由哪台電腦發出的要求,但是一樣也沒有使用port和IP的資訊,我能夠相信這真的只是內部電腦的問題嗎?(中木馬、蠕蟲等)
從目前NETLOGON紀錄來看能夠排除外部攻擊的可能嗎?
再者有沒有可能其來源會遭到竄改?

正如raytracy先進所說的一台具備完整 Log 紀錄的防火牆,小弟是用中華電信送的FortiGate 60B,請問這台有這種功能嗎? 如果有的話,我是否就能從他的log來看出是否是來自外部攻擊了呢? 詳細的情況是如何呢?

謝謝各位先進!

6
CalvinKuo
iT邦大師 7 級 ‧ 2011-01-24 16:33:09
最佳解答

會不會是POP3 (TCP 110)登入攻擊阿~~
之前還蠻常遇到的...
因為你的AD與Exchange都在同一台。我是Log都發生在郵件伺服器上,再找防火牆連線處理。
後來把不用POP3的菜市場名帳號POP3功能關閉就少很多。
因為都是字典攻擊居多,盡量請User不要直接用英文菜市場名當帳號(例如:加姓氏),公司大頭Email可以用別名處理。

看更多先前的回應...收起先前的回應...

感謝您! 我會努力看看,只不過FG 60B我連不了,所以也很頭痛就算抓到了要怎麼鎖IP,應該可以從ISA防火牆去鎖吧?

以下SSS是我的AD主機 DDD是網域名稱 AAA和BBB是使用者

<pre class="c" name="code">
事件類型:	稽核失敗
事件來源:	Security
事件類別目錄:	登入/登出 
事件識別碼:	539
日期:		2011/1/10
時間:		下午 02:59:59
使用者:		NT AUTHORITY\SYSTEM
電腦:	SSS
描述:
登入失敗:
 	原因:		帳戶已經鎖定
 	使用者名稱:	AAA
 	網域:
 	登入類型:	3
 	登入處理:	Advapi  
 	驗證封裝:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 	工作站名稱:	SSS
 	呼叫者使用者名稱:	SSS$
 	呼叫者網域:	DDD
 	呼叫者登入識別碼:	(0x0,0x3E7)
 	呼叫者處理識別碼: 1588
 	轉送的服務: -
 	來源網路位址:	-
 	來源連接埠:	-




<pre class="c" name="code">
事件類型:	稽核失敗
事件來源:	Security
事件類別目錄:	登入/登出 
事件識別碼:	529
日期:		2011/1/10
時間:		下午 03:00:10
使用者:		NT AUTHORITY\SYSTEM
電腦:	SSS
描述:
登入失敗:
 	原因:		使用者名稱不明或密碼錯誤
 	使用者名稱:	BBB
 	網域:		BBB-PC
 	登入類型:	3
 	登入處理:	NtLmSsp 
 	驗證封裝:	NTLM
 	工作站名稱:	BBB-PC
 	呼叫者使用者名稱:	-
 	呼叫者網域:	-
 	呼叫者登入識別碼:	-
 	呼叫者處理識別碼:	-
 	轉送的服務:	-
 	來源網路位址:	-
 	來源連接埠:	-

以上是我在SSS也就是我的AD上的事件檢視器中的安全性擷取下來的兩個事件,從這邊來看,可以看出AAA帳號在SSS上使用來登入時失敗被鎖定,而BBB帳號在BBB-PC上使用來登入到BBB-PC時失敗被鎖定。

請問這樣也有可能是您所說的POP3登入攻擊嗎?
因為感覺AAA和BBB兩個帳號的登入模式不一樣,不過這樣很久了,而且非常有規律性,像AAA就是大概每個55分鐘發作一次,每輪發作是每5分鐘登入一次,然後每輪登三次。

而BBB是固定每天某段時間就發作,每次發作就間隔相當短的一直重複登入,然後下次發作就是隔天了。

我會盡可能把我目前發現的現象po上來,感謝calvinkuo先進,也請各位先進能幫幫忙小弟,謝謝大家!

不好意思,請教一下calvinkuo先進,關於OpManager我安裝了之後,執行不起來,也辜不到相關的教學,難道這個電腦不夠好跑不動嗎?囧

謝謝!

raytracy iT邦大神 1 級 ‧ 2011-01-24 21:30:30 檢舉

conandexter提到:
因為感覺AAA和BBB兩個帳號的登入模式不一樣,不過這樣很久了,而且非常有規律性,像AAA就是大概每個55分鐘發作一次,每輪發作是每5分鐘登入一次,然後每輪登三次。

而BBB是固定每天某段時間就發作,每次發作就間隔相當短的一直重複登入,然後下次發作就是隔天了。

這兩個現象很像是中了木馬, 因為很少有企業用軟體, 會以這樣的頻率來登入.....

raytracy先進您好!

不過小弟有依照爬到的文,安裝重大更新修補KB958644和KB958687,也有安裝微軟的惡意軟體移除工具,掃了一下,什麼都沒發現,也用了趨勢的iClean掃了一下,這次出現了中斷惡意程序1筆,不過還沒研究出要怎麼看是哪一個程序。

如果可以重灌那可能事情會簡單化許多,不過SSS是AD不能重灌,而BBB-PC是主管用的電腦,我一定要確定好才能去動他的電腦。

現階段我可能要先找到底是哪一種木馬,還是哪一種蠕蟲病毒,然後才能找到有效的解毒方法吧? 請問有什麼給小弟的建議呢?

感謝您!

GJ iT邦研究生 5 級 ‧ 2011-01-25 10:06:48 檢舉

看起來很像 Conficker 病毒或 downadup.gen蠕蟲
client是否開資料夾共用,xp防火牆是否有開?
檢查看看client的工作排程是否寫入不明排程
可以在server上安裝forticlient這套軟體式防火牆來抓攻擊ip
之前公司網芳內流竄這兩隻病毒,一天內要接10幾通幫client解鎖的電話~囧

6
davidliu9116
iT邦研究生 3 級 ‧ 2011-01-24 12:00:43

把有問題的電腦先抓來洗白白(重要資料記得備份)
重新安裝所有的軟體,記得全部使用原版光碟(不要用整合版)
裝上防毒防木馬
更新所有軟體
加入網域鎖本機權限不讓本機再安裝任何軟體
再狠一點鎖可執行程式,其他與工作無關的軟體一律不能執行

這樣再監測看看是不是會有問題放馬過來

唔~ 上面的SBS這台電腦可是我的AD啊~

不可能洗白白的哭

有問過主管,看來不管FortiGate 60B的log完不完整都無解了,因為主管忘記帳號密碼而且也確定不讓我reset。

請教各位先進,有沒有什麼防火牆或者網路側錄「軟體」能有比較完整的log,能包含外部連進來的IP還有使用哪個port?

讓我可以比對,進而確定是否來是來自外部的攻擊,或者說可以拿來證明的確是內部的電腦中了毒,不是來自外部,不然主管說什麼都不相信的。

另一方面,也就是如果真的是來自內部的情況,我除了用過微軟的惡意軟體移除工具,趨勢的iclean,機器上的卡巴斯基掃過毒之外,也安裝了微軟的重大更新修補KB958644和KB958687,請問這個方向還能如何著手呢? 有沒有什麼軟體可以推薦的? 還有要如何確定是哪種蠕蟲病毒呢?

我想這次處理得不好的話,我要回家種田了(嘆
希望各位先進能幫幫忙!

感謝各位!

8
pentel0515
iT邦新手 3 級 ‧ 2011-01-25 17:16:07

我之前有客戶也是有類似問題,在AD群組內的電腦,會一直不斷的去試AD上的帳號
導致user的連線磁碟機無法使用

我發現的狀況如下:
1.開啟網頁都無法連至防毒軟體及微軟的網站(有中蠕蟲的電腦才會)
2.Windows XP及Windows 2000的系統長期都沒做微軟的windows update

如果你有第1個情況,我認為就是中了蠕蟲了
可以參考這裡
http://web.kaspersky.com.tw/KL-Services/FAQ/Kav2009/kav2009\_76.php?faq\_name=%B2M%B0%A3Net-Worm.Win32.Kido%BA%F4%B8%F4%C4%AF%C2%CE&faq\_no=398&faq\_checksum=2792&faq\_product=22&faq\_id\_no=5
下載一個kk.exe的小工具,這個程式會自動掃描所有的磁碟(包含隨身碟)
而且會直接幫你把有問題的檔案刪除

但是這只是治標,要真正解決問題...
1.請user交出所有的隨身碟,掃一次毒
2.再把微軟的漏洞補上
3.可以利用kk的指令,配合AD的方式,強迫user一開機就掃描(時間不會很久)
再主機開分享,把掃描的結果丟到主機上,直接去看log就知道了

至少我在客戶端是這樣搞定的,沒再聽過帳號被鎖主的問題(有也是自己忘記密碼,亂試後被鎖定的)

希望你能成功。

看更多先前的回應...收起先前的回應...

謝謝pentel0515先進! 各位先進好!

我昨天(1/25)有使用KK來掃SSS結果出現有infected jobs兩筆,請問這是指有工作排程被感染了嗎? 順便一題我的SSS是裝SBS 2003,我有用了各位先進所提到的情形,裝了Bitdefender還有賽門鐵克的downadup解毒針,也都沒有掃出什麼東西。

因為之前篩選條件只設定539也就是被鎖定的事件,所以沒發現,直到今天把篩選條件改成所有稽核失敗的情形,我才發現一個可怕的事實,在1/21(五)和1/23(日)這兩天一直被try帳號,有數字像111 222 333 12345,菜市場名像honey andy hello,還有常用系統名稱root admin test sys等,請問我的SSS是被字典攻擊,還是中了什麼詭異的毒?因為我只觀察最近幾天,只有發現星期五和星期日有這樣的情形,很奇怪為什麼星期六沒有?

我想jerry這個菜市場名就是因為這樣被try帳號成功,才會變成每5分鐘嘗試登入,而且會持續很久。

至於vincent這個使用者我有確認過了,只有他人在公司而且vincent-pc這台電腦有開的時候發作,而且每次都是在上午10:49左右發作,每回發作就會2秒之內嘗試登入多次,大約是20次以內(假設安全性沒有記漏掉的話),這點跟jerry的情況不太一樣,而且他是裝Win 7 x64的OS,我在微軟的網站上沒有找到安全性更新for這個版本的載點,我想這麼新的OS要中也是中很新的毒吧? 請問關於這點我應該怎麼處理呢? 重灌感覺也只是治標。

然後昨天(1/25)還有另一位使用者,叫他CCC好了,他有兩台電腦一台筆電裝XP SP3,一台桌機裝VISTA SP2,而且兩台都有中獎的紀錄,大約是在上午9:00~10:00這段時間左右發作的,發作的情況跟vincent的很像,都是指短時間之內不斷try密碼,只是發作的時間點不同,我當下馬上過去處理,目前有先幫他掃毒,至於有沒有掃到什麼我跟本人確認過再po上來。

昨天我還有做一件事情,就是把所有可疑的電腦的MountPoints2都改為Everyone皆不能存取,不過我想這只能保證以後不會再中USB病毒,原本的毒沒清掉他還是會再發作對吧?

最後,看到各位先進這麼熱心的幫忙,小弟非常感動,十分感激各位!

謝謝! 再謝謝!

基本上,我會建議你....公司每台電腦都用kk掃一次(你有用過應該知道,其實他不像防毒軟體掃描整個硬碟的檔案)
因為這個蠕蟲會攻擊公司區網內所有的電腦,然後所有的電腦再一起來try主機的帳號,你只針對1~2台電腦做掃描是沒有用的

感謝您! 您的建議我會實行的!

不過請問您已經知道這是什麼蠕蟲了嗎? 或者說大概可能是哪一種呢?

今天剛好曾經發生過帳號鎖死的電腦,他們的使用者都不在公司,所以今天它們應該是不會發作,不過我還有注意到一件事情,上次也有一台電腦有發作過,同樣是Win 7的OS,等他們回公司,我會特別處理。

還有一件事情我想請教一下,我猜jerry就是因為SSS上的蠕蟲try帳號時try對了有這個帳號,才變成開始每5分鐘try密碼,應該沒錯吧?

而vincent和CCC兩個人的電腦上的蠕蟲是直接有帳號,所以就開始try密碼,但是也不是隔5分鐘一次,短時間try N次,這模式跟前者不一樣。

所以「jerry在SSS上發作」相較於「vincent在vincent-PC和CCC在CCC-PC上發作」,我想這兩種情況是否分別是不同的蠕蟲病毒呢?

最後,因為我原本的環境是內部收信使用outlook,外部是使用OWA收信,所以用不到POP3,但是因為之前的系統不是我建構的,我又不能進去FortiGate裡頭看,不過我有在外部使用telnet來連SSS的POP3 port發現可以通耶(雖然沒畫面),我想這是不是就表示他POP3 port真的有開? 所以有可能是被POP3字典攻擊嗎?

感謝您!

CalvinKuo iT邦大師 7 級 ‧ 2011-01-31 08:55:37 檢舉

FortiGate若是用資安艦隊的方案,他們會留一組adminsl帳號,請他們登入開一組新的帳號密碼。
不然,試試admin密碼空白看看.... (出廠值)
若用不到POP3可以在Exchange那邊關掉服務,或把ISA、FortiGate轉送POP3的規則停用或移除。

4
goodnight
iT邦研究生 4 級 ‧ 2011-01-25 22:06:59

我個人建議你借重硬體的監控系統來看, 我是用 nus-ms1500 utm 可以清楚記錄是外部還是內部的攻擊, 所以我建議你做一個簡報向公司申請設備費用, 但是不便宜喔, 大約在七萬元, 你可以上裕笠網站看一下

另外, 你可以自己用 linux 架設防火牆來看, 有一套免費的叫 Untangle的也可以用, 先用免費的找出問題, 再採購設備

FortiGate 60B應該也有對內對外的監控, 如果你的每台電腦都是固定 ip 應該是可以找出哪一台電腦發生問題, 如果是半夜發生, 應該可以確定是外部了, 我公司在白天是開放外部連線, 晚上只開放 110/25/21/20的 port, 因為 mail server 在公司, 你的問題不花錢也可以找出來, 但是是需要時間的, 我不了解你的技術面到什麼程度, 也無法提供你更有效的方式, 還有你公司的環境細節, 這些你都沒有詳述, 很難幫你找出來, 光靠 win server log 也是很困難的

另外你也可以上網下載 nod32或卡巴的30天試用版來找出中毒的電腦, 先用這幾種方式吧

1.所有電腦使用固定 ip
2.安裝防毒軟體
3.下載 tcpview, 在每一台電腦看看有沒有不正常的連線
4.檢查啟動程式有沒有載入奇怪的程式
5.檢查服務有沒有載入奇怪不明的服務
先這樣了

我要發表回答

立即登入回答