none
邮件服务器安全日志中异常验证失败 RRS feed

  • 问题

  • 我们的邮件服务器的安全日志中出现大量的验证失败的日志,是不是备份攻击或是有人在尝试登录??

    事件类型: 审核失败
    事件来源: Security
    事件种类: 帐户登录
    事件 ID: 680
    日期:  2014-2-19
    事件:  9:36:35
    用户:  NT AUTHORITY\SYSTEM
    计算机: DCBPR-FMAIL01
    描述:
    尝试登录的用户:  MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 -------这是什么意思?
     登录帐户:   XXXX@dachanbayone.com
     源工作站:  PW0IBOKRVCZDUNR---这是什么名称??我们的域名不是该名称,工作组也没有这个名称。
     错误代码:  0xC0000064

    事件类型: 审核失败
    事件来源: Security
    事件种类: 登录/注销
    事件 ID: 529
    日期:  2014-2-19
    事件:  9:36:35
    用户:  NT AUTHORITY\SYSTEM
    计算机: DCBPR-FMAIL01
    描述:
    登录失败:
      原因:  用户名未知或密码错误
      用户名: Administrator
      域:  PW0IBOKRVCZDUNR -------------------这是什么名称??我们的域名不是该名称,工作组也没有这个名称。
      登录类型: 3
      登录进程: NtLmSsp
      身份验证数据包: NTLM
      工作站名称: PW0IBOKRVCZDUNR
      调用方用户名: -
      调用方域: -
      调用方登录 ID: -
      调用方进程 ID:  -
      传递服务:  -
      源网络地址: -
      源端口: -

    事件类型: 审核失败
    事件来源: Security
    事件种类: 帐户登录
    事件 ID: 680
    日期:  2014-2-19
    事件:  9:36:35
    用户:  NT AUTHORITY\SYSTEM
    计算机: DCBPR-FMAIL01
    描述:
    尝试登录的用户:  MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     登录帐户:   Administrator
     源工作站:  PW0IBOKRVCZDUNR
     错误代码:  0xC000006A

    2014年2月19日 2:26

答案

全部回复

  • 您好,

    有可能是字典攻击,建议可以从防火墙日志上查看,不过建议你立即修改该用户密码。

    如果用工具查看,也可以用这个分析http://eventid.net/display-eventid-4776-source-Microsoft-Windows-Security-Auditing-eventno-10736-phase-1.htm

    此外相关如下KB可能对你有用:

    http://support.microsoft.com/kb/926210

    http://support.microsoft.com/kb/890477

    http://support.microsoft.com/kb/811082

    • 已标记为答案 cara chen 2014年2月28日 9:21
    2014年2月19日 4:47
  • 日志好多这种错误,其中登录账户名不是我们的账户。

    事件类型: 审核失败
    事件来源: Security
    事件种类: 登录/注销
    事件 ID: 529
    日期:  2014-2-19
    事件:  8:50:45
    用户:  NT AUTHORITY\SYSTEM
    计算机: DCBPR-FMAIL01
    描述:
    登录失败:
      原因:  用户名未知或密码错误
      用户名: antonio
      域:  
      登录类型: 3
      登录进程: Advapi 
      身份验证数据包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
      工作站名称: DCBPR-FMAIL01
      调用方用户名: NETWORK SERVICE
      调用方域: NT AUTHORITY
      调用方登录 ID: (0x0,0x3E4)
      调用方进程 ID:  4240
      传递服务:  -
      源网络地址: -
      源端口: -

    事件类型: 审核失败
    事件来源: Security
    事件种类: 登录/注销
    事件 ID: 529
    日期:  2014-2-19
    事件:  8:44:12
    用户:  NT AUTHORITY\SYSTEM
    计算机: DCBPR-FMAIL01
    描述:
    登录失败:
      原因:  用户名未知或密码错误
      用户名: juan
      域:  
      登录类型: 3
      登录进程: Advapi 
      身份验证数据包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
      工作站名称: DCBPR-FMAIL01
      调用方用户名: NETWORK SERVICE
      调用方域: NT AUTHORITY
      调用方登录 ID: (0x0,0x3E4)
      调用方进程 ID:  4240
      传递服务:  -
      源网络地址: -
      源端口: -

    2014年2月19日 5:21
  • 您好,

    您重新检查过本地账号和AD账号

    2014年2月20日 0:34
  • 您好!

    1. 从错误信息来看,该错误与用户账号验证有关,如果这个账号是本地帐号的话,这是由于审核日志被开启的原因所导致的。

    2.也有可能是由于客户端中了病毒,导致用户密码被泄露,请参考yyycx的建议,定期改变用户密码。

    以下类似的thread供你参考。

    http://social.technet.microsoft.com/Forums/zh-CN/63b1708a-551b-49ff-8d84-ab77e2eb3356?forum=windowsserversystemzhchs


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    2014年2月20日 1:16
  • 我们有定期更改密码策略。

    这些账户juan、antonio验证失败的账户,在我们的域控中根本就没有该账户,很奇怪为什么会在安全日志中验证失败。

    2014年2月20日 3:56
  • 您好!

    1.请通过杀毒软件检测是否你的客户端计算机中了病毒。

    2.请确认这些账号是否是本地账号。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    2014年2月20日 8:34
  • 是不是开启了25端口的验证?如果开启的话就可能出现外部的机器在不停的测试你的EX 25端口用户名和密码

    MVP 技术群:66140619,如果想聊Powershell,234454246,如果希望换工作,加12298654,如果只聊技术,加235818241

    • 已标记为答案 cara chen 2014年2月28日 9:21
    2014年2月20日 10:39
    版主