none
WIN7域账号经常被锁定,查到攻击源是rdesktop,无法定位攻击源 RRS feed

  • 问题

  • 我是域管理员,系统安装趋势网络版杀毒软件,重装系统也无效,还是经常出现账号被锁定。

    局域网内几百台电脑,用EventCombMT查找644事件,找到许多被锁的记录,然后用命令筛选用户,得到结果。

    644,AUDIT SUCCESS,Security,Fri Sep 29 01:45:35 2017,NT AUTHORITY\SYSTEM,User Account Locked Out:     Target Account Name: 马赛克     Target Account ID: %{S-1-5-21-1640470932-3260560904-5352}     Caller Machine Name: Rdesktop     Caller User Name: SERVER01$     Caller Domain: group     Caller Logon ID: (0x0,0x3E7)    

    Caller Machine Name: Rdesktop

    我就是找不到Rdesktop在哪儿,其他人被锁定都是具体的计算机名,都可以查询到,唯独锁定我账号是查不到攻击源。

    求帮助,谢谢。

    2017年9月29日 4:56

全部回复

  • 是通过远程桌面攻击的吧?试图以用户的域帐号远程桌面登录,胡乱输入密码五次就锁定。不过这应该需要有管理员权限才行。

    先禁用 Remote Desktop Service 吧。


    Alexis Zhang

    http://mvp.microsoft.com/zh-cn/mvp/Jie%20Zhang-4000545
    http://blogs.itecn.net/blogs/alexis

    推荐以 NNTP Bridge 桥接新闻组方式访问论坛。

    本帖是回复帖,原帖作者是楼上的 "王勇Connect"

    | 我是域管理员,系统安装趋势网络版杀毒软件,重装系统也无效,还是经常出现账号被锁定。
    | 局域网内几百台电脑,用EventCombMT查找644事件,找到许多被锁的记录,然后用命令筛选用户,得到结果。

    2017年9月30日 0:47
    版主
  • 您好,感谢您的答复,禁用服务肯定不行,那样自己也不能用了;受您启发,我现在更改端口,看是否还会出现问题。

    现在可能的问题:

    1、有人远程到我电脑上(恶意软件?),密码错误;

    2、有人在其他电脑上用我的用户,密码错误;

    3、因为局域网内需要代理才能上网,有可能我在解决问题的时候输入过密码,现在更改密码后导致密码错误。

    但,综合以上,都应该有明确的计算机名啊,如果能找到计算机名我就可以仔细排查了,但现在这个rdesktop到底是哪儿?实在费解。

    2017年10月9日 3:28
  • 第三种的可能性比前两种大,可能是记住了已经修改过的旧密码。


    Alexis Zhang

    http://mvp.microsoft.com/zh-cn/mvp/Jie%20Zhang-4000545
    http://blogs.itecn.net/blogs/alexis

    推荐以 NNTP Bridge 桥接新闻组方式访问论坛。

    本帖是回复帖,原帖作者是楼上的 "王勇Connect"

    | 您好,感谢您的答复,禁用服务肯定不行,那样自己也不能用了;受您启发,我现在更改端口,看是否还会出现问题。
    | 现在可能的问题:

    2017年10月9日 13:14
    版主
  • 修改了本地(Intranet)和外部(Internet)RDP端口,还是不行,估计也不行,如果可以的话,那么应该显示计算机名是我自己的计算机名,而不是Rdesktop了。

    现在实验,禁用外部(Internet)RDP端口,保留本地(Intranet),如果还是不行就禁用本机RDP服务,确保不是在我计算机上发生的。

    如果不是Internet,不是本机,那Intranet我也没办法定位啊。

    2017年10月10日 2:31
  • 你们的环境有沙箱或者ips这种设备么?需要这类设备镜像流量,查找攻击源。

    这个攻击很普遍,用户的弱密码被穷举了,然后被当成肉鸡。

    2017年10月10日 2:45
  • 如果是“记住密码”然后又修改了,那报错的时候是不是应该显示Caller Machine Name为某台具体的计算机名呢?比如说“1F001”比如说是1楼的第1台电脑。

    我谷歌了一下,也有其他人遇到这个问题,只是他们的计算机名是“FreeRDP”,其实之前我也遇到过这个计算机名,只是最近都是“Rdesktop”。

    2017年10月10日 7:38
  • 你好,没有sandbox或者ips设备,有Cisco设备,可以配置端口镜像,查看网络流量,但是锁定没有规律,可能一天就2~3次,也可能1小时就2~3次。

    攻击没关系,至少能查找到攻击源吧?

    我把Internet的关闭了,还是被锁定,所以确定是Intranet的攻击;

    我现在把本机RDP服务关闭,看看还是否会被锁定,如果还是锁定,真的没有好办法了。

    2017年10月10日 7:41
  • 办公网环境和服务器环境互通吗?还有服务器环境也可能被攻击了。

    需要沙盒

    2017年10月12日 2:11
  • 办公网和服务器是互通的,请问沙盒是什么?我只知道有个PC软件是sandbox,局域网内的沙盒和ips还真不知道。
    2017年10月12日 6:15
  • 类似于这种:

    http://www.trendmicro.com.cn/cn/enterprise/security-management/threat-discovery-appliance/

    全球几家安全厂商都有类似的产品。

    2017年10月16日 3:00
  • 非常感谢
    2017年10月17日 3:22