iT邦幫忙

0

請教如何查詢事件檢視器中錯誤登入紀錄之來源

各位IT先進大家好:

公司有一台放在VM上的OfficeScan防毒主機,
近來一直在事件檢視器中看到錯誤的登入訊息,
由於此類訊息會出現在SIEM報表上,
所以有點惱人。
Source Address為127.0.0.1
Source Host Name為 JCIFSCCC_DDD_18
(註:IP為AAA.BBB.CCC.DDD,18非子網路遮罩)
Port看起來是不斷地變動,
連入的帳號是之前已經離職同事的AD帳號,
雖然已經停用帳號,
但問不到是什麼程式或服務造成不斷的登入錯誤。
請問有先進知道如何查出原因嗎?
謝謝。

P.S. OS為Windows Server 2016,除了OfficeScan外,上面還有裝Arcsight agent(SIEM),ObserveIT(監控軟體)

2 個回答

0
阿展展展
iT邦好手 1 級 ‧ 2019-11-20 05:48:51

帳號已停權,但仍嘗試登入(錯誤登入)
我會猜...中間有接續的接口有漏洞

然後單獨登入的部份這也不好猜,這表示他是屬於小眾的攻擊

0

一般如果會發生這樣的事。第一優先先去查查你離職同事的電腦。看看是否有類似網芳還連結或是ftp等檔案管理的工具還存在。

因為你說了port會一直變動的情況下。大多數猜想的就是ftp之類的東西才會這樣跑了。

我要發表回答

立即登入回答