Sucesso no login suspeito no Visualizador de Eventos

Question

Sucesso no login suspeito no Visualizador de Eventos

#1 resposta do (0 votos)
#2 resposta do (0 votos)

1

Espero que você possa ajudar. Temos notado a máquina local de outro usuário criando entradas de logon no visualizador de eventos da nossa máquina.

A mensagem recebida é "Uma conta foi conectada com sucesso".

Os detalhes da tentativa de logon são fornecidos abaixo (anonimizados):

Subject:
Security ID:        NULL SID
Account Name:       -
Account Domain:     -
Logon ID:       0x0

Logon Type:         3

New Logon:
Security ID:        OURDOMAN\SUSPICIOUSID$
Account Name:       SUSPICIOUSID$
Account Domain:     OURDOMAIN
Logon ID:       0x8276c3c
Logon GUID:     {ef03e93f-a27b-c304-92ce-3b244723ccc4}

Process Information:
Process ID:     0x0
Process Name:       -

Network Information:
Workstation Name:   
Source Network Address: IPAddress1
Source Port:        55666

Eu tentei pegar isso usando um script em lote e psfile, mas ele não está pegando nada na época do evento de logon. Ele é ativado se alguém mais controlar como administrador quando o testamos.

script de arquivo BAtch:

:Start
@echo off
setlocal enabledelayedexpansion
set theValue=x
cd c:/pstools
for /f "delims=" %%a in ('psfile.exe \MyMachine') do @set theValue=!theValue! %%a
IF not "%theValue%"=="x No files opened remotely on MyMachine." ( echo    %theValue%>>c:/psfileoutput/psfileoutput.txt ) else ( echo "no values" )
timeout 0

Ir para Iniciar

Eu teria pensado que um sucesso de logon resultaria em algum tipo de acesso a arquivos.

Alguém tem alguma ideia de como esse logon pode ser?

Obrigado

ATUALIZAÇÃO:

ATUALIZAÇÃO: finalmente recebi um hit com meu script em lote:

   x Files opened remotely on MyMachine: [183] \srvsvc User: SuspiciousID$ Locks: 0  Access: Read Write

security remote-access login eventviewer

por sentinel 09.01.2014 / 15:08

2 respostas

0

O sucesso do logon não garante acesso ao arquivo, uma conexão simples ao admin $ será mostrada como um evento de logon, mas não fará alterações no nível do arquivo.

É difícil dizer qual é o seu problema aqui, um rápido google da porta listada mostra um número de sites que listam um trojan chamado Latinus que parece ter usado essa porta recentemente. Eu pessoalmente verifico a outra máquina qualquer infecção.

link

Se você tiver acesso à outra máquina, dê uma olhada no aplicativo ou nos logs de eventos de segurança nas mesmas ocasiões em que estiver visualizando os eventos em sua própria máquina. você pode ver mais informações sobre o processo que está tentando se conectar.

por 09.01.2014 / 16:02

Tags security remote-access login eventviewer

Potencial de várias interfaces de rede durante a implementação do RHEL Server 2012 RemoteApp desconecta / reconecta constantemente

score 0 · Accepted Answer

Autenticação e autorização são dois conceitos diferentes. O primeiro é basicamente verificar as credenciais de logon, enquanto o segundo está verificando o tipo de acesso ao qual o usuário tem direito.

\srvsvc não é um arquivo, é um chamado "named pipe" e é usado principalmente como um mecanismo para enumerar os compartilhamentos fornecidos por um servidor de arquivos - que é o que está sendo feito quando um servidor de arquivos é chamado Windows Explorer (ou seja, você digita \server na barra de endereço) ou após uma solicitação net view \server . Como sua conta de máquina SUSPICIOUSID $ é membro do grupo AUTHENTICATED USERS incorporado, ele tem o direito de usar \srvsvc por padrão para listar compartilhamentos em todos os membros do domínio. Isso não significa que ele possa acessar qualquer um dos compartilhamentos listados ou os arquivos nele contidos.