Forum
Bildirimler
Hepsini Temizle
Exchange Server
10
Yazılar
3
Üyeler
0
Likes
2,214
Görüntüleme
Konu başlatıcı
Merhaba, ADAudit log maili sürekli uyarı veriyor. Exchange serverden dc server üzerine bir istek bu. Araştırdığıma göre kullanıcı yanlış parola denemesi olarak geçiyor. 0x6 olarak geçtiği için. Kullanıcı bilgisi alamadığımız için, hangi kullanıcıdan neden kaynaklı çözemedim. DC srv üzerinden aldığım hata hakkında event bilgisi aşağıdadır. Hata hakkında aldığımız mail ve log bilgilerinide ekliyorum.
| - | System |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| - | EventData |
| TargetUserName | X509N:<S>C=US,S=Washington,L=Redmond,O=Microsoft Corporation,CN=mail.protection.outlook.com |
| TargetDomainName | alanadı.COM.TR |
| TargetSid | S-1-0-0 |
| ServiceName | krbtgt/alanadı.COM.TR |
| ServiceSid | S-1-0-0 |
| TicketOptions | 0x40810010 |
| Status | 0x6 |
| TicketEncryptionType | 0xffffffff |
| PreAuthType | - |
| IpAddress | ::ffff:exchange srv ip |
| IpPort | 34299 |
| CertIssuerName |
| CertSerialNumber |
| CertThumbprint |
Gönderildi : 01/06/2022 11:26
OWA açıktır oradan şifre denemesi yapıyorlardır.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 01/06/2022 12:12
Konu başlatıcı
@hakanuzuner owa yı dışarıya kapattığımızda da sorun devam ediyor.
Gönderildi : 01/06/2022 12:18
Konu başlatıcı
@hakanuzuner
Hakan Hocam biraz erken konuştum sanırım. Biz dns üzerinden owa yönlendirmesini kaldırarak denemiştim. Ama ip üzerinden gelebileceklerini hesaba katmamıştım. Firewall üzerinden 443 portunu kapattığımızda loglar şuan için durmuş görünüyor.
Fakat, bu bir sızma girişimi midir, yoksa sertifika hatası gibi bir durum mudur ondan emin olamadım. Öneriniz var mı?
Gönderildi : 01/06/2022 12:58
Zaten sen ısrar etseydin bu durumda içeriden saldırıyorlar diyecektim 🙂
Normal bir durum, genel tarama yapıyorlar, bu nedenle pek çok müşterimiz MFA ürünü kullanıyor veya ona bir tane WAF ürünü alıyor.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 01/06/2022 14:14
Konu başlatıcı
@hakanuzuner gene erken cevap veren ben 🙂 şuan sorun devam ediyor malesef. exchange server 'ı dışarıya tamamen gateway kaldırarak kapattık. Bu şekilde en azından içerden mi, yoksa dışardan mı anlayacağız bakalım.
Gönderildi : 01/06/2022 15:57
Aynen, içeriden de olabilir, sonuçta birisi şifre deniyor çok net.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 02/06/2022 00:07
Konu başlatıcı
@hakanuzuner smtp "25" portundan gelen taleplermiş. 25 nolu port yönlendirmesini kaldırdığımızda erişim talebi almıyoruz.
Ama kullanıcı olarak:aşağıdaki bilgiyi veriyor. Biz hybrid yapı kullanıyoruz. Sanki online exchange den, on-prem exchange üzerine gelen bir talep gibi düşünüyoruz.
| X509N: |
Ayrıca on-prem exchange üzerinde oluşturulan lokal mailbox hesapları mail gönderebiliyor, fakat mail alamıyor.
Bu ileti 2 yıl önce ismail cetin tarafından düzenlendi
Gönderildi : 02/06/2022 15:20
Lokal cihazlara kurduğunuz hesapları tarayınız yakın zamanda basic auth kapatılmaya başlandı sorun yaşayan bir cihazdan atak gibi görünüyor olabilir.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 02/06/2022 17:34
