TONS de 4625 eventos. Tentativas de login falhadas. Sem IP, sem nome de usuário

Navegue suas respostas
1

Eu tenho um servidor que fica recebendo eventos de login com falha (4625). Eles ocorrem aproximadamente a cada 20 a 30 minutos diariamente. Também parece estar em um cronograma.

Eu tentei excluir as credenciais armazenadas. Desativando o RDS. Eu tentei localizar um padrão com Procmon e Wireshark, e em um ponto pensei que poderia ser os serviços para Labtech (ConnectWise Automate), mas desativando isso temporariamente não fez a diferença.

Uma conta não conseguiu fazer o login.

Assunto: 

Security ID:        SYSTEM

Account Name:       SERVER$

Account Domain:     DOMAIN

Logon ID:       0x3E7

Tipo de login: 3

Conta para qual logon falhou: 

Security ID:        NULL SID

Account Name:       

Account Domain:

Informações sobre falhas: 

Failure Reason:     Unknown user name or bad password.

Status:         0xC000006D

Sub Status:     0xC0000064

Informação do processo: 

Caller Process ID:  0x2f4

Caller Process Name:    C:\Windows\System32\lsass.exe

Informações de rede: 

Workstation Name:   SERVER

Source Network Address: -

Source Port:        -

Informações detalhadas de autenticação: 

Logon Process:      Schannel

Authentication Package: Kerberos

Transited Services: -

Package Name (NTLM only):   -

Key Length:     0
    
por ToatesMagoats 25.07.2018 / 22:49

1 resposta

0

Como você mencionou, muito poucas informações úteis são fornecidas neste evento. O que podemos ver é:

  • Código de erro : 0xC0000064 > STATUS_NO_SUCH_USER / conta não existente
  • Tipo de login : 3 > rede ou RDP com NLA
  • Pacote de autenticação : Kerberos
  • Nome do host de origem : o próprio servidor

In a nutshell, "something" is runinng locally with a wrong username and is trying to authenticate over the network using the Kerberos protocol.

Portanto, as únicas "pistas" que posso sugerir são:

  • Procure eventos potenciais ID 4776 (validação de credenciais)
  • Procure nos registros do DC por estranhos IDs de eventos do Kerberos com falha: 4771, 4768
  • No monitor de recursos, examine a guia diferente e procure um processo que possa abrir várias consultas localmente
  • No PerfMon > Trace session, veja se algum rastreamento da sessão existente no software pode ajudá-lo
  • E os logs de aplicativos do ConnectWise?
por 26.07.2018 / 17:18

Tags

Excluindo fwmark (ed) Pacotes do Wireguard Tunnel A reinicialização remove qualquer usuário local e alterações de domínio