邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: 账号锁定原因查找? [打印本页]

作者: maguoji    时间: 2017-11-14 19:45
标题: 账号锁定原因查找?
本帖最后由 maguoji 于 2017-11-14 19:49 编辑

钉子大师:
exchange 2010 sp3 with 更新汇总17 ,最近发现有部分账号反复由于失败登录被锁定(设定了错误登录5次就锁定),查找系统安全日志,显示原因失败登录的进程是imap4.EXE ,但是在imap日志中根本找不到该用户登录的任何信息(用户本人表示未使用该协议),关闭该用户的imap登录属性,在系统安全日志中仍然出现使用imap4进程登录该用户失败的情况。因此目前不知道从何下手查找原因?也不能确定登录的来源是否攻击,从哪发起的?
请帮忙分析一下!谢谢
作者: 钉子    时间: 2017-11-14 23:58
麻烦先检查一下这个IMAP4的进程是否为正常进程?停掉IMAP4的服务,这个进程还在吗?如果是IMAP4,为防止外部登录,可以从网关上限制IMAP4的端口,比如删除公外发布的端口。
作者: maguoji    时间: 2017-11-18 09:23
停掉服务,进程不在,打了汇总补丁18,确认该进程没有问题,防火墙关掉143,情况好很多,但仍有,主要不明白为何imap日志中没有任何信息,正常的访问是有日志的。目前将禁用时间改为30分钟来缓解访问问题
作者: maguoji    时间: 2017-11-21 10:42
经过仔细对比查找,发现日志中有记录,只是没有账号信息,只有下面信息
2017-11-21T01:55:54.981Z,0000000000000ACC,2,x.x.x.x:143,y.y.y.y:3681,,0,31,30,authenticate,plain,"R=""2 NO AUTHENTICATE failed."";Msg=AuthFailedogonDenied"
有的是这样,带着账号信息
2017-11-21T02:06:03.673Z,0000000000000AEA,6,x.x.x.x:143,y.y.y.y:57188,,15,42,267,authenticate,NTLM,"R=""A4 NO AUTHENTICATE failed."";RpcL=-1;LdapL=-1;Msg=AuthFailedogonDenied"
2017-11-21T02:06:03.767Z,0000000000000AEA,7,x.x.x.x:143,y.y.y.y:57188,,0,39,21,login,zzz@www.com*****,"R=""A5 NO LOGIN failed."";RpcL=-1;LdapL=-1;Msg=LogonFailedoginDenied"

可能带账号信息的记录是正常的?不带账号信息的属于破解的?不是很明白。
作者: 钉子    时间: 2017-11-29 11:25
正常不正常,要结合客户端IP确认。




欢迎光临 邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.cn/BBS/) Powered by Discuz! X3.2