Conta de administrador de domínio de bloqueio de origem desconhecida e nomes de usuários aleatórios

Question

Conta de administrador de domínio de bloqueio de origem desconhecida e nomes de usuários aleatórios

#1 resposta do (0 votos)

0

No meu domínio eu tenho uma máquina virtual que eu posso ver uma fonte desconhecida está constantemente tentando autenticar. Eu posso pará-lo bloqueando as portas RPC no firewall local da VM, mas isso causa muitos problemas para mim.

Quando eu verifico meu arquivo netlogon.log, ele se parece com isso para o logout do administrador

11/29 13:47:32 [LOGON] [4100] COMPANY: SamLogon: Transitive Network logon of (null)\ADMINISTRATOR from (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 13:49:36 [LOGON] [5364] COMPANY: SamLogon: Transitive Network logon of (null)\ADMINISTRATOR from (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 13:52:32 [LOGON] [6436] COMPANY: SamLogon: Transitive Network logon of (null)\Administrator from WIN-L1JIA2E591R (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 13:52:40 [LOGON] [6436] COMPANY: SamLogon: Transitive Network logon of TRENDSALES\Zucchini from 'MyPCHostname' (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:02:34 [LOGON] [5364] COMPANY: SamLogon: Transitive Network logon of (null)\ADMINISTRATOR from (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:04:16 [LOGON] [1216] COMPANY: SamLogon: Transitive Network logon of (null)\Administrator from WIN-L1JIA2E591R (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:14:34 [LOGON] [5364] COMPANY: SamLogon: Transitive Network logon of (null)\ADMINISTRATOR from (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:16:02 [LOGON] [5364] COMPANY: SamLogon: Transitive Network logon of (null)\Administrator from WIN-L1JIA2E591R (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:18:11 [LOGON] [3628] COMPANY: SamLogon: Transitive Network logon of (null)\ADMINISTRATOR from (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:27:50 [LOGON] [5364] COMPANY: SamLogon: Transitive Network logon of (null)\Administrator from WIN-L1JIA2E591R (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:33:47 [LOGON] [2244] COMPANY: SamLogon: Transitive Network logon of (null)\ADMINISTRATOR from (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:37:41 [LOGON] [892] COMPANY: SamLogon: Transitive Network logon of (null)\ADMINISTRATOR from (via MyVirtualMachineHostname) Returns 0xC000006A 11/29 14:41:18 [LOGON] [7012] COMPANY: SamLogon: Transitive Network logon of (null)\Administrator from WIN-L1JIA2E591R (via MyVirtualMachineHostname) Returns 0xC000006A

Ele também tenta uma grande variedade de nomes de usuários aleatórios parecidos com isso

11/29 14:28:12 [LOGON] [3884] COMPANY: SamLogon: Transitive Network logon of (null)\RCSSupport from FreeRDP (via MyVirtualMachineHostname) Returns 0xC0000064 11/29 14:28:16 [LOGON] [3884] COMPANY: SamLogon: Transitive Network logon of (null)\RCSSupport from FreeRDP (via MyVirtualMachineHostname) Returns 0xC0000064 11/29 14:28:35 [LOGON] [7120] COMPANY: SamLogon: Transitive Network logon of (null)\pos from FreeRDP (via MyVirtualMachineHostname) Returns 0xC0000064 11/29 14:28:47 [LOGON] [4436] COMPANY: SamLogon: Transitive Network logon of (null)\pos from FreeRDP (via MyVirtualMachineHostname) Returns 0xC0000064 11/30 11:53:04 [LOGON] [3048] COMPANY: SamLogon: Transitive Network logon of (null)\MSSQLSERVER from (via MyVirtualMachineHostname) Returns 0xC0000064 11/30 11:54:19 [LOGON] [3048] COMPANY: SamLogon: Transitive Network logon of (null)\IUSR_QA from (via MyVirtualMachineHostname) Returns 0xC0000064

Como descubro de onde vêm as tentativas? Parece que o nome do host está sendo falsificado?

Eu também não tenho certeza se o problema é malware na máquina 'MyVirtualMachineHostname' ou se estou procurando um computador infectado na minha rede.

networking authentication malware virtual-machine

por Zucchini 30.11.2016 / 13:58

1 resposta

Tags networking authentication malware virtual-machine

Como posso instalar um sistema operacional em uma unidade que não seja de inicialização? Por que meu Excel 2016 continua usando correção automática de inglês com outro idioma definido como padrão?

score 0 · Answer 1

Primeiro, descubra quais portas TCP (e / ou UDP) estão sendo usadas. Meu palpite é TCP porta 135, mas acredito que RPC pode ser uma coisa complicada, possivelmente usando outras portas. Se o seu firewall permitir que você desabilite essas portas especificando determinadas regras, observe essas regras para ver quais portas estão envolvidas.

Em seguida, procure por conexões ativas. Uma maneira é através de uma linha de comando. Aqui estão os comandos para a linha de comando tradicional:
netstat -na
netstat -na | find /i "135" | more
(Se estiver usando o PowerShell, você precisará colocar um caractere / caractere de retorno antes de cada uma dessas aspas).

Outra maneira: no Windows 10 (e talvez tão cedo quanto o Vista?), clique com o botão direito do mouse na barra de tarefas e escolha Gerenciador de Tarefas. Na guia Desempenho, clique em "Gerenciador de recursos". (Ou, pode haver algumas outras maneiras de chegar ao Gerenciador de Recursos.) Vá para a guia Rede e expanda a seção "Conexões TCP" (preferencial). Ou, se o UDP estiver envolvido, a seção "Listening Ports" poderá ter mais informações.

O que isto faz é começar a identificar o endereço IP do invasor. Depois disso, talvez você não consiga obter mais informações, a menos que você comece a interagir com essa máquina. (Você pode precisar de permissões nessa máquina para encontrar mais detalhes.) Bem, você pode obter mais informações cheirando a conexão de rede (por exemplo, com TCPDump ou o mais gráfico Wireshark), mas é melhor tentar usar essa máquina ( através do seu teclado, ou através de ferramentas de gerenciamento remoto como o Gerenciamento do Computador ou WMIC).

Se o endereço IP remoto for de loopback (começa com "127." para IPv4, ou é ":: 1" para IPv6), então você provavelmente terá duas entradas (uma para a conexão de saída e outra para a conexão de recepção). Nesse caso, execute netstat -nab em um prompt de comando. Certifique-se de que o prompt de comando esteja elevado (se você tiver o UAC ativado). Isso lhe dará um PID que pode ser usado para identificar qual programa local está sendo usado. Para fazer isso, em um prompt de comando elevado, use:

WMIC PROCESS GET Name,ProcessID /FORMAT:LIST

(Novamente, os usuários do PowerShell fazem um back-tick, desta vez antes da vírgula.) (Para obter mais informações, desative a parte "Nome, ProcessID"). Para um ProcessID / PID específico, por exemplo, 12345, você poderia usar:

WMIC PROCESS GET Name,ProcessID /FORMAT:TABLE | FIND /I "12345"