主機這二天一直有這個訊息,如下,在防火牆一直查不到,大約3~5分鐘就攻擊4~5次
,但把smtp服務拿掉,訊息就停止了,但信也進不來出不去,我還有什麼方式可以封鎖它呢?
感覺是沒有經過我的防火牆就連到主機在試密碼和帳號,syslog裡沒有連續攻擊的ip
防火牆是fg-80c
主機是windows server SBS 2003,exchange 2003
***********************************
事件類型: 稽核失敗
事件來源: Security
事件類別目錄: 登入/登出
事件識別碼: 529
日期: 2014/2/7
時間: 下午 03:19:51
使用者: NT AUTHORITY\SYSTEM
電腦: xxxxxx
描述:
登入失敗:
原因: 使用者名稱不明或密碼錯誤
使用者名稱: compaq
網域:
登入類型: 3
登入處理: Advapi
驗證封裝: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名稱: xxxxxx
呼叫者使用者名稱: xxxxxx$
呼叫者網域: xxxxxx
呼叫者登入識別碼: (0x0,0x3E7)
呼叫者處理識別碼: 1652
轉送的服務: -
來源網路位址: -
來源連接埠: -
***************************************
查
1.fg-80c外拋syslog
2.Exchange開啟SMTP log
查以上的兩個log files就可以了
封鎖
1.fg-80c可以擋ip
2.Exchnage也可以拒絕IP存取
FG-80C 不是有IPS嗎? 為啥放著不用阿....
若打開IPS也沒啥Log,那就打開應用程式控制
記得選取的要把封包紀錄勾選 (Log會很大...)
慢慢查吧...
ips要花錢買, 搞不好攻擊來自內部fortigate就查不到了
iT邦幫忙MVPjanuslin提到:
外拋syslog
,有下載來看,但就是沒看到有連續攻擊的ip,ips原本就有設定了
,應用程式控制我是設定那一個?
電腦:xxxxxx 與 工作站名稱:xxxxxx 的xxxxxx 若是一樣,有可能是呼叫者處理識別碼: 1652(瞧瞧工作管理員) 這個本機的程式, 使用compaq 帳號登入本機的resource時,密碼有誤。