none
一直被未知的來源者嘗試登入 RRS feed

  • 問題

  •  

    請教各位

    我的SBS 2003過去這兩天,每隔15分鐘就出現有人嘗試登入卻又登入失敗的訊息

    在事件檢視器內的安全性紀錄,出現的訊息如下:

     

    日期(A):2008/8/10          來源(S):Security

    時間(M):上午 09:02:26    類別(R):登入/登出

    類型(E):稽核失敗           事件ID(I):529

    使用者(U):NT AUTHORITY\SYSTEM

    電腦(O):ABC

     

    描述(D):

    登入失敗:
      原因:  使用者名稱不明或密碼錯誤
      使用者名稱: abelcr@comcast.net
      網域:  
      登入類型: 3
      登入處理: Advapi 
      驗證封裝: Negotiate
      工作站名稱: ABC
      呼叫者使用者名稱: ABC$
      呼叫者網域: BBB
      呼叫者登入識別碼: (0x0,0x3E7)
      呼叫者處理識別碼: 1920
      轉送的服務: -
      來源網路位址: -
      來源連接埠: -

     

     

     

    現在的問題,如下:

    1. 不確定它想要連結登入的地方,是Exchange Server??整個Server??或是其他地方???請問該如何判別他是想連結登入哪裡???
    2. 目前它每隔約15分鐘就嘗試登入一次,這樣會讓我的伺服器資源都在處理他嘗試登入卻又失敗的狀態,而他又無顯示來源IP,我的Router的防火牆功能設定就無法設定檔下他,請問該如何擋掉它??

    現在這問題蠻嚴重的,煩請各位朋友指導,感謝各位,謝謝。

    2008年8月11日 上午 02:19

解答

  • 如果是外部的侵入者,這就表示防火牆有漏洞,不然就是公司其中有部電腦被植入殭屍

    建議晚上下班時間基本上公司會有運作的電腦就不多,看看會不會還有去攻擊 ABC 電腦的

    Log 先排除來源是外部還是內部,如果是外部會比較簡單,要將防火牆的 Log 逐條檢視排除

    若是內網殭屍攻擊就要用 Sniffer 去查哪一部電腦異常,謝謝!!

    • 已標示為解答 Fly Away 2009年2月12日 上午 03:13
    2008年12月26日 上午 06:54

所有回覆

  • 登入失敗:
      原因:  使用者名稱不明或密碼錯誤

     

    這個訊息不一定表示有人在猜你的帳號密碼喔。

     

    有試過這個 Hotfix 嗎?

    http://support.microsoft.com/kb/811082/en-us

     

     

    2008年11月28日 上午 03:13
  • 我很確定是人為的嘗試登入或入侵

    因為這個ID不是我公司內部的ID

    常常都是在公司下班後,晚上、半夜、凌晨在嘗試登入公司

    而且也很囂張,都是用同一個名稱(例如:abc,不是公司的帳號),從來不改名稱,因為她覺得她自己已經隱藏IP了

    雖然我有將伺服器設定嘗試登入失敗的次數,然後就自動封鎖它,但它還是不死心,每隔幾天就試一次

    非常討人厭

     

    但是我就是看不到它的IP,沒辦法檔掉它,請問有其他方式可以檔掉它嗎??

    2008年12月5日 上午 09:16
  •  

    局域网中有没有以 ABC 命名的计算机?

    2008年12月5日 下午 01:54
  •  寱麕齺簼 寫信:

     

    局域网中有没有以 ABC 命名的计算机?

     

    您好

    內網裡面有ABC這台電腦

    嘗試入侵的來源者,想入侵的就是ABC這台入

    2008年12月9日 下午 04:20
  • 如果是外部的侵入者,這就表示防火牆有漏洞,不然就是公司其中有部電腦被植入殭屍

    建議晚上下班時間基本上公司會有運作的電腦就不多,看看會不會還有去攻擊 ABC 電腦的

    Log 先排除來源是外部還是內部,如果是外部會比較簡單,要將防火牆的 Log 逐條檢視排除

    若是內網殭屍攻擊就要用 Sniffer 去查哪一部電腦異常,謝謝!!

    • 已標示為解答 Fly Away 2009年2月12日 上午 03:13
    2008年12月26日 上午 06:54
  •  寱麕齺簼 寫信:

     

    局域网中有没有以 ABC 命名的计算机?

     

    您好,現在發現嘗試入侵的人員,使用aaa這個帳號一直嘗試登入,而這個帳號卻不是我公司內部人員的帳號

    然後程序一樣是~每隔幾天就在嘗試登入,連續嘗試登入失敗,直到被系統自動封鎖。

    請問這情況,是有被入侵成功嗎???或是他只是一直在嘗試想登入??

    2008年12月26日 上午 08:45
  •  

    基本上它能進來嘗試登入主機,這就表示算是成功進入公司內部,只剩下猜帳號與密碼,所以還請您盡速找出漏洞在哪,不然遲早被猜出帳號&密碼,謝謝!!
    2008年12月26日 上午 08:58