Remove From My Forums

邮件服务器安全日志中异常验证失败

问题
0

登录进行投票

我们的邮件服务器的安全日志中出现大量的验证失败的日志，是不是备份攻击或是有人在尝试登录？？

事件类型: 审核失败
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:  2014-2-19
事件:  9:36:35
用户:  NT AUTHORITY\SYSTEM
计算机: DCBPR-FMAIL01
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 -------这是什么意思？
登录帐户:   XXXX@dachanbayone.com
源工作站: PW0IBOKRVCZDUNR---这是什么名称？？我们的域名不是该名称，工作组也没有这个名称。
错误代码: 0xC0000064

事件类型: 审核失败
事件来源: Security
事件种类: 登录/注销
事件 ID: 529
日期:  2014-2-19
事件:  9:36:35
用户:  NT AUTHORITY\SYSTEM
计算机: DCBPR-FMAIL01
描述:
登录失败:
  原因:  用户名未知或密码错误
  用户名: Administrator
  域:  PW0IBOKRVCZDUNR -------------------这是什么名称？？我们的域名不是该名称，工作组也没有这个名称。
  登录类型: 3
  登录进程: NtLmSsp
  身份验证数据包: NTLM
  工作站名称: PW0IBOKRVCZDUNR
  调用方用户名: -
  调用方域: -
  调用方登录 ID: -
  调用方进程 ID: -
  传递服务: -
  源网络地址: -
  源端口: -

事件类型: 审核失败
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:  2014-2-19
事件:  9:36:35
用户:  NT AUTHORITY\SYSTEM
计算机: DCBPR-FMAIL01
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: Administrator
源工作站: PW0IBOKRVCZDUNR
错误代码: 0xC000006A

2014年2月19日 2:26

回复

|

引用

答案

0

登录进行投票
您好，

有可能是字典攻击，建议可以从防火墙日志上查看，不过建议你立即修改该用户密码。

如果用工具查看，也可以用这个分析http://eventid.net/display-eventid-4776-source-Microsoft-Windows-Security-Auditing-eventno-10736-phase-1.htm

此外相关如下KB可能对你有用：

http://support.microsoft.com/kb/926210

http://support.microsoft.com/kb/890477

http://support.microsoft.com/kb/811082
- 已标记为答案 cara chen 2014年2月28日 9:21
2014年2月19日 4:47

回复

|

引用
0

登录进行投票
是不是开启了25端口的验证？如果开启的话就可能出现外部的机器在不停的测试你的EX 25端口用户名和密码
MVP 技术群：66140619,如果想聊Powershell,234454246,如果希望换工作,加12298654,如果只聊技术，加235818241
- 已标记为答案 cara chen 2014年2月28日 9:21
2014年2月20日 10:39

回复

|

引用

版主

全部回复

0

登录进行投票
您好，

有可能是字典攻击，建议可以从防火墙日志上查看，不过建议你立即修改该用户密码。

如果用工具查看，也可以用这个分析http://eventid.net/display-eventid-4776-source-Microsoft-Windows-Security-Auditing-eventno-10736-phase-1.htm

此外相关如下KB可能对你有用：

http://support.microsoft.com/kb/926210

http://support.microsoft.com/kb/890477

http://support.microsoft.com/kb/811082
- 已标记为答案 cara chen 2014年2月28日 9:21
2014年2月19日 4:47

回复

|

引用
0

登录进行投票

日志好多这种错误，其中登录账户名不是我们的账户。

事件类型: 审核失败
事件来源: Security
事件种类: 登录/注销
事件 ID: 529
日期:  2014-2-19
事件:  8:50:45
用户:  NT AUTHORITY\SYSTEM
计算机: DCBPR-FMAIL01
描述:
登录失败:
  原因:  用户名未知或密码错误
  用户名: antonio
  域:
  登录类型: 3
  登录进程: Advapi
  身份验证数据包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
  工作站名称: DCBPR-FMAIL01
  调用方用户名: NETWORK SERVICE
  调用方域: NT AUTHORITY
  调用方登录 ID: (0x0,0x3E4)
  调用方进程 ID: 4240
  传递服务: -
  源网络地址: -
  源端口: -

事件类型: 审核失败
事件来源: Security
事件种类: 登录/注销
事件 ID: 529
日期:  2014-2-19
事件:  8:44:12
用户:  NT AUTHORITY\SYSTEM
计算机: DCBPR-FMAIL01
描述:
登录失败:
  原因:  用户名未知或密码错误
  用户名: juan
  域:
  登录类型: 3
  登录进程: Advapi
  身份验证数据包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
  工作站名称: DCBPR-FMAIL01
  调用方用户名: NETWORK SERVICE
  调用方域: NT AUTHORITY
  调用方登录 ID: (0x0,0x3E4)
  调用方进程 ID: 4240
  传递服务: -
  源网络地址: -
  源端口: -

2014年2月19日 5:21

回复

|

引用
0

登录进行投票

您好，

您重新检查过本地账号和AD账号

2014年2月20日 0:34

回复

|

引用
0

登录进行投票

您好！

1. 从错误信息来看，该错误与用户账号验证有关，如果这个账号是本地帐号的话，这是由于审核日志被开启的原因所导致的。

2.也有可能是由于客户端中了病毒，导致用户密码被泄露，请参考yyycx的建议，定期改变用户密码。

以下类似的thread供你参考。

http://social.technet.microsoft.com/Forums/zh-CN/63b1708a-551b-49ff-8d84-ab77e2eb3356?forum=windowsserversystemzhchs

微软一站式示例脚本库: http://blogs.technet.com/b/onescript

2014年2月20日 1:16

回复

|

引用
0

登录进行投票

我们有定期更改密码策略。

这些账户juan、antonio验证失败的账户，在我们的域控中根本就没有该账户，很奇怪为什么会在安全日志中验证失败。

2014年2月20日 3:56

回复

|

引用
0

登录进行投票

您好！

1.请通过杀毒软件检测是否你的客户端计算机中了病毒。

2.请确认这些账号是否是本地账号。

微软一站式示例脚本库: http://blogs.technet.com/b/onescript

2014年2月20日 8:34

回复

|

引用
0

登录进行投票
是不是开启了25端口的验证？如果开启的话就可能出现外部的机器在不停的测试你的EX 25端口用户名和密码
MVP 技术群：66140619,如果想聊Powershell,234454246,如果希望换工作,加12298654,如果只聊技术，加235818241
- 已标记为答案 cara chen 2014年2月28日 9:21
2014年2月20日 10:39

回复

|

引用

版主

产品

Resources

Solutions

更新

试用版

相关站点

培训

认证

其他资源

产品支持

其他支持

不是 IT 专业人员？

积极答复者

邮件服务器安全日志中异常验证失败

问题

答案

全部回复