Anasayfa » Forum

Event ID 4776 / Sou...
 
Bildirimler
Hepsini Temizle

Event ID 4776 / Source Workstation  

  RSS
Kerem Göktay
(@keremgoktay)
Üye

Merhaba,

Belli bir süredir, bizim yapıya uygun olmayan bir pc sürekli şifre denemesi yapıyor.

DC lerde ilgili makina source.workstation olarak görüyoruz fakat makina domainde ve ipscan de çıkmadığı için makinayı bulamıyorum.

CMD'den nltest /dbflag:0x2080ffff komutu ile netlogon debug aldığımda 

01/09 08:47:08 [LOGON] [2272] DYG: SamLogon: Transitive Network logon of xxx\user from JCIFS11_167_91 (via SQLMAKINASI) Entered
01/09 08:47:08 [LOGON] [2272] DYG: SamLogon: Transitive Network logon of xxx\user from JCIFS11_167_91 (via SQLMAKINASI) Returns 0xC0000234

şeklinde logları görüyorum. Fakat ilgili makinada bunla ilgili bir task scheduler, sql de bir user login bulunmuyor. Aynı şekilde farklı farklı fileserverda vb sunuculardanda geliyor.

Event viewer a düştüğü anda wireshark ı eşleştirdim. filter'I kerberos olarakta yaptım fakat anormal bir makina auth failed olarak wiresharkta gözükmüyor.

DC eventlarına source IP ya da source mac bastırma yönte mi var mı? Ya da bu tarz bir problemi nasıl çözebilirim?

 

Alıntı
Gönderildi : 09/01/2020 14:05
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Son durum nedir?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 11/01/2020 20:10
Kerem Göktay
(@keremgoktay)
Üye

Aynı devam.

CevapAlıntı
Gönderildi : 13/01/2020 14:02
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Case aç abi 🙂

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 13/01/2020 14:30
Kerem Göktay
(@keremgoktay)
Üye

Selamlar,

Şu ana kadar bulabildiğimiz içerideki bizim sistemlerden isteklerin gelmediği gibi yönde.

 

Microsoft teknikteki arkadaşta,

Nltest /DBFlag:2080FFFF komutu ile nt servisin debug loggingi açtı. %windir%\debug\netlogon.log klasöründeki log dosyasına baktı ve aynı satırları gördü.

Tam bu geldiği anda sysinternals tarafından proccess monitor ile aynı uygulamadan geldiğini bulmaya çalıştı, fakat başarılı olamadık. Ondan sonra bu dışarıdan gelebiliyor olabiliyor mu? Bir backup ürünü ya da bir siem gibi şeklinde belirtince ibreyi qradar'a çevirdim.
QQradar tarafında ilgili makina event readerdan çekebilsin şeklinde ayarlıydı, ilgili assete girip başka username ve şifre yarattım, o username ve şifre ile yapınca eski hatalar gelmeye devam etti. Bu sefer qradara girdiğim şifreyi değiştirip kayıt ettim.
Artık qradardaki olan username de diğer hatalar gelmeye başladı, yani microsofttaki elemanda bende kendimizce qradardan bir şekilde bu bilgiler geliyor gibi düşündük,

 

Qradar üzerine yoğunlaşacağız şimdi, durumla ilgili bilgilendirmeye devam, bu kısa serüvende benimle birlikte olup sıcak çayınız eşliğinde bu satırları okuduğunuz için teşekkür eder, esenlikler dilerim.

 

CevapAlıntı
Gönderildi : 07/02/2020 20:41
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Süper kıymetli bir bilgi, bakalım sonuç ne olacak?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 08/02/2020 16:24
Paylaş: