O que é essa estranha falha de logon que vejo todos os dias?

Question

O que é essa estranha falha de logon que vejo todos os dias?

#1 resposta do (2 votos)
#2 resposta do (1 votos)

3

Estou tendo algo estranho acontecendo em um servidor Windows Server 2008 R2.
Todos os dias exatamente às 21:00, uma Falha de Auditoria é registrada no Visualizador de Eventos, informando que uma conta não pôde efetuar logon pelo motivo "Nome de usuário desconhecido ou senha incorreta". A parte estranha é que o nome da conta é uma cadeia de 161 caracteres, começando com @@, sendo o restante uma cadeia aparentemente aleatória de caracteres. Esse nome é o mesmo todos os dias. Parece estar vindo localmente do servidor. O Tipo de Logon é 4, o Processo do Chamador é svchost e, em Informações de Autenticação Detalhadas, o Processo de Logon é Advapi e o Pacote de Autenticação está em Negociação. Alguma idéia de onde isso pode estar vindo? Alguma outra informação relevante que eu não tenha fornecido?

login active-directory windows-server-2008-r2 windows-event-log

por Micha 12.05.2013 / 09:03

2 respostas

1

Minha primeira inclinação é que isso foi causado por uma Tarefa Agendada que estava sendo executada na conta do Active Directory de um usuário que estava desabilitada ou excluída, mas parece que pode ser de origem mais sinistra.

O Advapi parece ser parte do pacote de malware BKDR_NETDEVIL.12, então parece É provável que o seu servidor seja comprometido .

por 12.05.2013 / 09:35

Tags login active-directory windows-server-2008-r2 windows-event-log

dovecot não me deixando telnet localhost 110 - imap e pop3-login não iniciando nginx try_files processado duas vezes e falha se o conjunto de fallback de erro

score 2 · Accepted Answer

Acontece que a tarefa agendada do Backup falhou ao iniciar. Aparentemente, em algum momento, a configuração da Diretiva de Grupo "Acesso à rede: não permitir o armazenamento de credenciais ou Passaportes .NET para autenticação de rede" foi ativada. Isso não permitia armazenar as credenciais para uso com a tarefa agendada, como visto na mensagem de erro:

UmabuscarápidanoGoogledepois,eacausafoirevelada.ConseguiespecificarcredenciaisnoAgendadordeTarefase,amanhãdemanhã,vereiseoproblemafoiresolvidoounão.Aindanãoseionde"@ CyBAAAAUBQYAMHArBwUAMGAoBQZAQGA1BAbAUGAyBgOAQFAhBwcAsGA6AweAkDA0AAOAEEA5AQQAIEABBQLAEDABBAOAEDAtAANAEEAFBwQA0CA4AAMAEDAEBQLAMDABBAMAUDA1AgNAADABBwQAkDAyAAOA0HA" veio, mas esperamos que isso não seja mais importante. Obrigado por toda sua ajuda!