Forum

Bildirimler

Hepsini Temizle

[Çözüldü] Event ID 4776 / Source Workstation

Windows Server

Son Cevaplar gön: Hakan Uzuner 4 yıl önce

8 Yazılar

2 Üyeler

2 Likes

4,329 Görüntüleme

RSS

Kerem Göktay

(@keremgoktay)

Gönderiler: 117

Üye

Konu başlatıcı

Merhaba,

Belli bir süredir, bizim yapıya uygun olmayan bir pc sürekli şifre denemesi yapıyor.

DC lerde ilgili makina source.workstation olarak görüyoruz fakat makina domainde ve ipscan de çıkmadığı için makinayı bulamıyorum.

CMD'den nltest /dbflag:0x2080ffff komutu ile netlogon debug aldığımda

01/09 08:47:08 [LOGON] [2272] DYG: SamLogon: Transitive Network logon of xxx\user from JCIFS11_167_91 (via SQLMAKINASI) Entered
01/09 08:47:08 [LOGON] [2272] DYG: SamLogon: Transitive Network logon of xxx\user from JCIFS11_167_91 (via SQLMAKINASI) Returns 0xC0000234

şeklinde logları görüyorum. Fakat ilgili makinada bunla ilgili bir task scheduler, sql de bir user login bulunmuyor. Aynı şekilde farklı farklı fileserverda vb sunuculardanda geliyor.

Event viewer a düştüğü anda wireshark ı eşleştirdim. filter'I kerberos olarakta yaptım fakat anormal bir makina auth failed olarak wiresharkta gözükmüyor.

DC eventlarına source IP ya da source mac bastırma yönte mi var mı? Ya da bu tarz bir problemi nasıl çözebilirim?

Gönderildi : 09/01/2020 14:05

Hakan Uzuner

(@hakanuzuner)

Gönderiler: 32990

Illustrious Member Yönetici

Son durum nedir?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

Gönderildi : 11/01/2020 20:10

Kerem Göktay

(@keremgoktay)

Gönderiler: 117

Üye

Konu başlatıcı

Aynı devam.

Gönderildi : 13/01/2020 14:02

Hakan Uzuner

(@hakanuzuner)

Gönderiler: 32990

Illustrious Member Yönetici

Case aç abi 🙂

Gönderildi : 13/01/2020 14:30

Kerem Göktay

(@keremgoktay)

Gönderiler: 117

Üye

Konu başlatıcı

Selamlar,

Şu ana kadar bulabildiğimiz içerideki bizim sistemlerden isteklerin gelmediği gibi yönde.

Microsoft teknikteki arkadaşta,

Nltest /DBFlag:2080FFFF komutu ile nt servisin debug loggingi açtı. %windir%\debug\netlogon.log klasöründeki log dosyasına baktı ve aynı satırları gördü.

Tam bu geldiği anda sysinternals tarafından proccess monitor ile aynı uygulamadan geldiğini bulmaya çalıştı, fakat başarılı olamadık. Ondan sonra bu dışarıdan gelebiliyor olabiliyor mu? Bir backup ürünü ya da bir siem gibi şeklinde belirtince ibreyi qradar'a çevirdim.
QQradar tarafında ilgili makina event readerdan çekebilsin şeklinde ayarlıydı, ilgili assete girip başka username ve şifre yarattım, o username ve şifre ile yapınca eski hatalar gelmeye devam etti. Bu sefer qradara girdiğim şifreyi değiştirip kayıt ettim.
Artık qradardaki olan username de diğer hatalar gelmeye başladı, yani microsofttaki elemanda bende kendimizce qradardan bir şekilde bu bilgiler geliyor gibi düşündük,

Qradar üzerine yoğunlaşacağız şimdi, durumla ilgili bilgilendirmeye devam, bu kısa serüvende benimle birlikte olup sıcak çayınız eşliğinde bu satırları okuduğunuz için teşekkür eder, esenlikler dilerim.

Gönderildi : 07/02/2020 20:41

Hakan Uzuner

(@hakanuzuner)

Gönderiler: 32990

Illustrious Member Yönetici

Süper kıymetli bir bilgi, bakalım sonuç ne olacak?

Gönderildi : 08/02/2020 16:24

Kerem Göktay

(@keremgoktay)

Gönderiler: 117

Üye

Konu başlatıcı

Qradar GUI'sel bir problemmiş. Sonunda inandırabildik. GUI'den bir şekilde cache li kalıyormuş, CLI tarafından şifreler tekrardan değişince düzeldi problem.

Gönderildi : 26/06/2020 11:26

ibrahim yildiz and ibrahim yildiz reacted