iT邦幫忙

0

網域帳號持續被鎖定,有辦法查哪個來源端在做怪嗎?

  • 分享至 

  • xImage

網域有個帳號無故被鎖住,只要將該帳號解除,沒過多久就會被鎖住,
經設定稽核查核發現DC主機被密集性做攻擊,只能看到事件知道有哪個帳號及驗證方式錯誤,
不知道要用哪種方式可以得知哪組IP或來源在做密集性攻擊

補充:
我有個方向,公司總共有3台DC最近都有重建更新。
公司郵件是租用off365的,我想是否是 Azure AD Connect與365雲端主機這段有問題,猜測是郵件這端持續被幾個固定帳號猜密碼,有些帳號是系統沒有設定的,該帳號被鎖剛好是名單內的帳號以致被鎖了。
不知道是否有人有:Azure AD Connect與office365同步設定的SOP
撇除Azure AD Connect這端的問題,因為把Azure AD Connect需用到的Administrator的密碼變更了還是持續發生。

https://ithelp.ithome.com.tw/upload/images/20230717/201103024Z8SdAwreM.jpg

看更多先前的討論...收起先前的討論...
PIZZ iT邦新手 2 級 ‧ 2023-07-17 17:18:08 檢舉
https://ithelp.ithome.com.tw/questions/10213255
hauyaren iT邦新手 4 級 ‧ 2023-07-17 19:59:04 檢舉
DC主機上的log是有幾組固定帳號在猜密碼,確定室內網的設備。
外部的是office365認證以撇除。
這不是先前設定在未加入網域的電腦記憶帳號。
我猜是某同事電腦中木馬~然後透過他的電腦猜你的主機帳號密碼。
Sujira iT邦新手 4 級 ‧ 2023-07-18 18:23:20 檢舉
稽核log登出登入先啟用再來觀察是否有出現4625
hauyaren iT邦新手 4 級 ‧ 2023-07-19 08:49:26 檢舉
4625都是網域內的電腦密碼打錯訊息,包含我自己打錯的。
沒有幾筆資料,這些訊息還算正常。
hauyaren iT邦新手 4 級 ‧ 2023-07-19 12:23:57 檢舉
剛剛有查到幾筆是4325的攻擊行為
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
4
Ray
iT邦大神 1 級 ‧ 2023-07-17 21:41:02

你已經收到一堆 Event 4776 了, 從 4776 裡面就可以挖出來源資訊:
https://www.pcwdld.com/windows-event-id-4776/

看更多先前的回應...收起先前的回應...

小小窗戶挖啊挖

hauyaren iT邦新手 4 級 ‧ 2023-07-18 11:35:32 檢舉

只有行為及記錄,但沒辦法找出來源

Ray iT邦大神 1 級 ‧ 2023-07-18 17:02:58 檢舉

上面那篇文章的 4776 Event 裡面, 不就有來源了?

這張圖顯示是來自: Mark-5005 這台電腦所發起的驗證

如果這裡沒有的話, 那篇文章還提供了其他的方法讓你去查, 你有沒有去照著做看看?

hauyaren iT邦新手 4 級 ‧ 2023-07-18 17:56:23 檢舉

有查到滿多偽裝的電腦名稱
DC主機有試著擋掉某部分的IP,但全試了還是會被駭。

0
純真的人
iT邦大師 1 級 ‧ 2023-07-18 14:00:20

window事件很難抓到的~我架comodo防火牆,裡面去管制可以登入的IP跟port
裡面可以記錄異常來源,進而去封鎖他~

看更多先前的回應...收起先前的回應...
hauyaren iT邦新手 4 級 ‧ 2023-07-18 17:57:22 檢舉

有用鯊魚抓被駭的這段封包,但沒辦法看到可疑的資料

恩~要不要透過非常時期~先全部IP都鎖起來~一台一台開放IP確認?
來抓可疑電腦來源?

hauyaren iT邦新手 4 級 ‧ 2023-07-19 08:48:17 檢舉

我有一段一段的封,全部封完還是有攻擊行為

@@..那辛苦了~要找到攻擊來源不容易~
我是先全部拒絕IP~先看自己電腦的事件還有沒有問題~
在每台隔1小時開~看事件有無變化~

hauyaren iT邦新手 4 級 ‧ 2023-07-19 09:33:47 檢舉

我們有2個外部點對點VPN,還有設備端的VLAN,太廣了。
也有在懷疑是不是設備商的電腦出問題造成。
但它又會是直接攻擊2台DC主機就覺得怪、不是。

不仿覺得可疑電腦先關掉判斷~搞不好那台電腦有中木馬~在自動攻擊~

0
zero
iT邦好手 1 級 ‧ 2023-07-19 20:04:58

我不知道你的環境是怎麼設定的,Azure AD Connect本身支援架構也很多,

只憑這些資訊無法推估來源是不是office365的鍋

但是office365本身吃的驗證是Azure AD才對,

除非你做了什麼設定讓他將驗證送回地面上的AD,不然通常是影響不到才對


再來是Windows eventlog的部份,4776本身不記錄來源IP,他記錄的是SAM名稱

如果SAM名稱你無法鎖定來源端,請換事件ID

最簡單的方法就是直接將所有稽核失敗紀錄打開,

將鎖定帳戶的時間點找出來,分析錯誤時間點產生的eventid類別

找到有紀錄來源ID的eventid,

不同的驗證方式產生的eventid也不同,

最常見並且有來源IP的有eventid 4625,4771,6273這三個

最常見不代表一定只有這三個,請自己針對自己的環境找

我這邊是只要這三個來源已足夠涵蓋全部


鎖定好來源ID的事件就是用程式碼來整理而已,祝你早日找到來源

https://ithelp.ithome.com.tw/upload/images/20230719/20022284SANehTEXIM.jpg

https://ithelp.ithome.com.tw/upload/images/20230719/20022284au8h5yFit8.jpg

我要發表回答

立即登入回答