イベントビューアでの不審なログインの成功
あなたが助けることができることを願っています。別のユーザーのローカルマシンが、マシンのイベントビューアにログオンエントリを作成していることに気づきました。
受信したメッセージは「アカウントは正常にログオンしました」です。
ログオン試行の詳細を以下に示します(匿名化)。
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: OURDOMAN\SUSPICIOUSID$
Account Name: SUSPICIOUSID$
Account Domain: OURDOMAIN
Logon ID: 0x8276c3c
Logon GUID: {ef03e93f-a27b-c304-92ce-3b244723ccc4}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name:
Source Network Address: IPAddress1
Source Port: 55666
バッチスクリプトとpsfileを使用してこれを取得しようとしましたが、ログオンイベントの前後には何も取得されません。私たちがそれをテストするとき、他の誰かが管理者としてリモートであるかどうかを拾います。
バッチファイルスクリプト:
:Start
@echo off
setlocal enabledelayedexpansion
set theValue=x
cd c:/pstools
for /f "delims=" %%a in ('psfile.exe \\MyMachine') do @set theValue=!theValue! %%a
IF not "%theValue%"=="x No files opened remotely on MyMachine." ( echo %theValue%>>c:/psfileoutput/psfileoutput.txt ) else ( echo "no values" )
timeout 0
後藤スタート
ログオンに成功すると、ある種のファイルアクセスが発生すると思いました。
このログオンが何であるかについて誰かが何か考えを持っていますか?
ありがとう
更新:
更新:ついに私のバッチスクリプトでヒットしました:
x Files opened remotely on MyMachine: [183] \srvsvc User: SuspiciousID$ Locks: 0 Access: Read Write
認証と承認は2つの異なる概念です。 1つ目は基本的にログオン資格情報の確認であり、2つ目はユーザーに付与されているアクセスの種類の確認です。
\srvsvcはファイルではなく、いわゆる「名前付きパイプ」であり、主にファイルサーバーによって提供される共有を列挙するメカニズムとして使用されます。これはWindowsでファイルサーバーが呼び出されたときに実行されることです。エクスプローラー(つまり、アドレスバーに\\serverを入力)またはnet view \\serverリクエストに応じて。マシンアカウントSUSPICIOUSID $はAUTHENTICATED USERS組み込みグループのメンバーであるため、デフォルトで\srvsvcを使用して、すべてのドメインメンバーの共有を一覧表示することができます。リストされている共有またはその中のファイルのいずれかにアクセスできるという意味ではありません。
ログオンの成功は、ファイルアクセスを保証するものではありません。admin$への単純な接続は、ログオンイベントとして表示されますが、ファイルレベルの変更は行われません。
ここで問題が何であるかを言うのは難しいですが、リストされているポートをグーグルで検索すると、ごく最近このポートを使用していることが確認されているLatinusという名前のトロイの木馬をリストしているサイトがいくつか表示されます。私は他のマシンに感染がないか個人的にチェックします。
http://www.speedguide.net/port.php?port=55666
他のマシンにアクセスできる場合は、自分のマシンでイベントが表示されるのと同時に、アプリケーションまたはセキュリティイベントログを確認してください。接続を試みているプロセスに関する詳細情報が表示される場合があります。