週五時有員工反應帳戶被凍結,以為他是密碼打錯太多次才被凍結,就直接幫他做解鎖做處理
不到五分鐘電話又來了,說又被鎖,密碼都有打對,於是我去看稽核錯誤記錄發現了…
連ad帳戶都一直不斷在密碼錯誤 (確定這個帳戶沒人登入,因伺服器的帳戶不是ADMIN)
請各位先進指導個方向,一開始以為是中毒,圖2、3 (稱為A員工)
他的機器掃過了,查這症狀還以為是CONFICKER…結果什麼也沒掃到
且他的機器換個使用者居然就不會再稽核錯誤了,故應不是中毒的問題…
以及ad帳戶也在不斷嘗試密碼,我該如何查出是哪個機器(或ip)在使用這個帳戶嘗試?
以及該如何阻止此類問題再次發生,感謝各位先進幫忙…
已邀請的邦友 {{ invite_list.length }}/5
這就是網路上有人(或程式)在猜您的密碼, Windows的Log透露的訊息太少, 沒法抓對方, 只能在其上一級寬頻分享器找Log...
最佳的做法是: 只要是主機有密碼, 就不要對外開放, E-mail收發則透過另一部沒有帳號的主機中轉, 外部要使用內部則透過VPN, 這樣才會沒事...
Linux上有一套件fail2ban可以鎖對方IP, 但不支持Windows, 而且你會發現這種攻擊非常頻繁...
可以在其前方加裝一台Linux主機做郵件中轉, 防毒...
這樣就可以有效防駭
了解,有空再來研究研究,請問前輩有參考資料可否提供
感謝!!
先學會架Linux, 以及Mail server, 並裝上防毒, 設定好iptables, 再裝上fail2ban, 這些都可以在Google找到資料.
到fail2ban時, 如有需要設定檔(有點複雜), 或有其他疑問, 可以e-mail給我 johnson@erp.tw
這幾天有遇到類似問題,也以為是中毒,後來把印表機砍掉之後就沒發生過了,供你參考。
通常帳戶登入方式....一種是透過終端機登入...應該會有紀錄...如果透過遠端桌面也會有紀錄..而且遠端端桌會紀錄是從那個ip,另一種是透過服務方式登入...在log也會看到是透過那個服務....接著您在針對那個服務查log就可以發現是那個ip試著登入了!
iThome鐵人賽
看影片追技術