Forum

X509N kullanıcı log...
 
Bildirimler
Hepsini Temizle

[Çözüldü] X509N kullanıcı logon fail hatası (event id: 4768)

ismail cetin
(@ismailcetin)
Üye

Merhaba, ADAudit log maili sürekli uyarı veriyor. Exchange serverden dc server üzerine bir istek bu. Araştırdığıma göre kullanıcı yanlış parola denemesi olarak geçiyor. 0x6 olarak geçtiği için. Kullanıcı bilgisi alamadığımız için, hangi kullanıcıdan neden kaynaklı çözemedim. DC srv üzerinden aldığım hata hakkında event bilgisi aşağıdadır. Hata hakkında aldığımız mail ve log bilgilerinide ekliyorum.

uyarı mailleri
0x6 anlamı
hatauyarı2
x509n hatası

 

 

 

- System
   
- Provider
      [ Name] Microsoft-Windows-Security-Auditing
      [ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}
   
  EventID 4768
   
  Version 0
   
  Level 0
   
  Task 14339
   
  Opcode 0
   
  Keywords 0x8010000000000000
   
- TimeCreated
      [ SystemTime] 2022-05-31T1658.372542200Z
   
  EventRecordID 62371381
   
  Correlation
   
- Execution
      [ ProcessID] 792
      [ ThreadID] 11472
   
  Channel Security
   
  Computer DC.alanadı.com.tr
   
  Security
- EventData
    TargetUserName X509N:<S>C=US,S=Washington,L=Redmond,O=Microsoft Corporation,CN=mail.protection.outlook.com
    TargetDomainName alanadı.COM.TR
    TargetSid S-1-0-0
    ServiceName krbtgt/alanadı.COM.TR
    ServiceSid S-1-0-0
    TicketOptions 0x40810010
    Status 0x6
    TicketEncryptionType 0xffffffff
    PreAuthType -
    IpAddress exchange srv ip
    IpPort 34299
    CertIssuerName  
    CertSerialNumber  
    CertThumbprint  
Alıntı
Konu başlatıcı Gönderildi : 01/06/2022 11:26

Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

OWA açıktır oradan şifre denemesi yapıyorlardır.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 01/06/2022 12:12

ismail cetin
(@ismailcetin)
Üye

@hakanuzuner owa yı dışarıya kapattığımızda da sorun devam ediyor.

CevapAlıntı
Konu başlatıcı Gönderildi : 01/06/2022 12:18

ismail cetin
(@ismailcetin)
Üye

@hakanuzuner 
Hakan Hocam biraz erken konuştum sanırım. Biz dns üzerinden owa yönlendirmesini kaldırarak denemiştim. Ama ip üzerinden gelebileceklerini hesaba katmamıştım. Firewall üzerinden 443 portunu kapattığımızda loglar şuan için durmuş görünüyor. 

 

Fakat, bu bir sızma girişimi midir, yoksa sertifika hatası gibi bir durum mudur ondan emin olamadım. Öneriniz var mı?

CevapAlıntı
Konu başlatıcı Gönderildi : 01/06/2022 12:58

Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Zaten sen ısrar etseydin bu durumda içeriden saldırıyorlar diyecektim 🙂

Normal bir durum, genel tarama yapıyorlar, bu nedenle pek çok müşterimiz MFA ürünü kullanıyor veya ona bir tane WAF ürünü alıyor.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 01/06/2022 14:14

ismail cetin
(@ismailcetin)
Üye

@hakanuzuner cevap için tşkler Hakan Hocam 🙂 

CevapAlıntı
Konu başlatıcı Gönderildi : 01/06/2022 15:45

ismail cetin
(@ismailcetin)
Üye

@hakanuzuner gene erken cevap veren ben 🙂 şuan sorun devam ediyor malesef. exchange server 'ı dışarıya tamamen gateway kaldırarak kapattık. Bu şekilde en azından içerden mi, yoksa dışardan mı anlayacağız bakalım.

CevapAlıntı
Konu başlatıcı Gönderildi : 01/06/2022 15:57

Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Aynen, içeriden de olabilir, sonuçta birisi şifre deniyor çok net.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 02/06/2022 00:07

ismail cetin
(@ismailcetin)
Üye

@hakanuzuner smtp "25" portundan gelen taleplermiş. 25 nolu port yönlendirmesini kaldırdığımızda erişim talebi almıyoruz. 

 

Ama kullanıcı olarak:aşağıdaki bilgiyi veriyor. Biz hybrid yapı kullanıyoruz. Sanki online exchange den, on-prem exchange üzerine gelen bir talep gibi düşünüyoruz.

X509N:C=US,S=Washington,L=Redmond,O=Microsoft Corporation,CN=mail.protection.outlook.com

 

Ayrıca on-prem exchange üzerinde oluşturulan lokal mailbox hesapları mail gönderebiliyor, fakat mail alamıyor.

Bu ileti 2 ay önce ismail cetin tarafından düzenlendi
CevapAlıntı
Konu başlatıcı Gönderildi : 02/06/2022 15:20

ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye Forum Yöneticisi

Lokal cihazlara kurduğunuz hesapları tarayınız yakın zamanda basic auth kapatılmaya başlandı sorun yaşayan bir cihazdan atak gibi görünüyor olabilir.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 02/06/2022 17:34

Paylaş: