Автор Тема: Непонятные Failed Logon с контроллеров домена  (Прочитано 1888 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн goro

  • Старожил
  • ****
  • Сообщений: 512
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Доброго времени суток.
Обнаружил что с нескольких серверов в домене на контроллеры домена идут неудавшиеся попытки залогинится под Администратором домена

Например

Спойлер для скрыто:
Запрошен билет проверки подлинности Kerberos(TGT).

Сведения об учетной записи:
   Имя учетной записи:      Администратор
   Предоставленное имя сферы:   DOMEN.RU
   Идентификатор пользователя:         NULL SID

Сведения о службе:
   Имя службы:      krbtgt/DOMEN.RU
   Код службы:      NULL SID

Сведения о сети:
   Адрес клиента:      ::ffff:192.168.3.89
   Порт клиента:      50274

Дополнительные сведения:
   Параметры билета:      0x40810010
   Код результата:      0x12
   Тип шифрования билета:   0xFFFFFFFF
   Тип предварительной проверки подлинности:   -

Сведения о сертификате:
   Имя поставщика сертификата:      
   Серийный номер сертификата:   
   Отпечаток сертификата:      

Сведения о сертификате предоставляются только в том случае, если сертификат использовался для предварительной проверки подлинности.

Типы предварительной проверки подлинности, параметры билета, типы шифрования и коды результата определены в стандарте RFC 4120.



Пример2

Спойлер для скрыто:
Сбой предварительной проверки подлинности Kerberos.

Сведения об учетной записи:
   Идентификатор безопасности:      DOMEN.RU\Администратор
   Имя учетной записи:      Администратор

Сведения о службе:
   Имя службы:      krbtgt/DOMEN.RU

Сведения о сети:
   Адрес клиента:      ::ffff:192.168.16.2
   Порт клиента:      63866

Дополнительные сведения:
   Параметры билета:      0x40810010
   Код ошибки:      0x18
   Тип предварительной проверки подлинности:   2

Сведения о сертификате:
   Имя поставщика сертификата:      
   Серийный номер сертификата:    
   Отпечаток сертификата:      

Сведения о сертификате предоставляются только в том случае, если сертификат использовался для предварительной проверки подлинности.

Типы предварительной проверки подлинности, параметры билета и коды ошибок определены в стандарте RFC 4120.

Если билет был неправильно сформирован или поврежден при передаче и не может быть расшифрован, многие поля этого события могут отсутствовать.


Попытки залогинится идут постоянно.
Что это, как бороться?

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Непонятные Failed Logon с контроллеров домена
« Ответ #1 : 20 ноября 2017, 18:52:54 »
Что это
похоже на обычный брутфорс - айпишники у вас в эвенте есть - попробуйте определить кто или что это?
можно берндмауэром заблокировать если это не рабочая станция

Оффлайн goro

  • Старожил
  • ****
  • Сообщений: 512
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Непонятные Failed Logon с контроллеров домена
« Ответ #2 : 20 ноября 2017, 19:03:02 »
Обнаружил еще такую запись в нетрвриксе

Cause: Pre-authentication information was invalid: usually means bad password.
      This entry represents 6 matching events occurring within 10 seconds.

Оффлайн goro

  • Старожил
  • ****
  • Сообщений: 512
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Непонятные Failed Logon с контроллеров домена
« Ответ #3 : 20 ноября 2017, 19:42:51 »
Похорже брутфорс принял очень массовые масштабы, сайчас вижу такие попытки с многоих внутренних IP.
Под разными учетками.
Проверяю сервера др.вебом, пока пусто.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Непонятные Failed Logon с контроллеров домена
« Ответ #4 : 20 ноября 2017, 20:15:21 »

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Непонятные Failed Logon с контроллеров домена
« Ответ #5 : 20 ноября 2017, 22:59:07 »
очень массовые масштабы
event id полностью покажите.
Может опять какая гадость через МЕДок проползла?

Оффлайн goro

  • Старожил
  • ****
  • Сообщений: 512
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Непонятные Failed Logon с контроллеров домена
« Ответ #6 : 21 ноября 2017, 12:36:15 »
Account_Lockout_Examiner_Free проверил машину(ы), которые ломятся под учеткой Админстратора...
Результаты проверки таковы




Ума не приложу что это может быть...