【問題】被網路中的其他電腦不停地登入登出攻擊



贊助商連結


頁 : [1] 2

b90220208
2008-07-14, 12:19 PM
電腦(B)事件檢視器中的安全性紀錄有一堆的網路登入登出紀錄如下

使用者名稱: USER-A
logon type: 3
登入處理: NtLmSsp
驗證封裝: NTLM
工作站名稱: A

補充說明一下:
B 電腦中設有 A 電腦的 USER-A 帳戶

每隔 12 秒就來一輪(數字為 event id)
540(網路登入成功) -> 576(指派特殊權限至新登入) -> 538(使用者登出)

一整天跑不停,除非將該攻擊電腦 (A) 的 USER-A 帳戶登出,才停止攻擊.但一登入就又開始了...這是被攻擊了嗎??

贊助商連結


windata
2008-07-14, 12:22 PM
看看 A 上面有哪個程式在執行中,再進一步過濾吧

b90220208
2008-07-14, 02:15 PM
附圖是我在A電腦執行 netstat 的結果
(塗掉的部份即A電腦)

PS.
不知那堆12開頭的PORT NUMBER是做什麼用的

rogershu
2008-07-14, 02:32 PM
附圖是我在A電腦執行 netstat 的結果
(塗掉的部份即A電腦)

PS.
不知那堆12開頭的PORT NUMBER是做什麼用的


沒有奇怪的對外連線,檢查一下看電腦有沒有中毒。

b90220208
2008-07-14, 07:12 PM
A與B電腦都掃過毒了(ok),

關於那些 listening port 既不是一般性的亦非我所開放的....為何會處在 listen 狀態?

quell
2008-07-15, 01:24 AM
這是ARP嗎??

windata
2008-07-15, 11:06 AM
再繼續收集資料

推薦兩個工具 CurrPorts (http://www.nirsoft.net/utils/cports.html) / SmartSniff (http://www.nirsoft.net/utils/smsniff.html)
都是 nirsoft (http://www.nirsoft.net/) 的

b90220208
2008-07-15, 06:18 PM
感謝各位提供之意見,
容我先吐一下苦水...

搞了一天原來是印表機在作怪

話說從頭...
B電腦將其上的印表機分享出來
A電腦帳戶要列印時,在B的登入事件稽核中會不斷出現A的帳戶的登出入紀錄(從每12秒一輪到每秒好幾輪登入登出...然後A-B間網路掛掉)

怪的是,只要我在A電腦點選網路芳鄰並進入B電腦後,這在B電腦的大量登入登出行為馬上停止(A-B間的網路隨即正常)



PS. 掃毒,更新都做過了

b90220208
2008-07-15, 11:50 PM
另外
其實我印表機driver已經重裝多次過(下午火大連B也格式化重安)
printer其安全性是用預設的(everyone 都能印),並啟用分享.
A,B都取消簡易共用.區網環境無AD,...就是個很普通的LAN而已.

我是有想過一個問題
例如你今天若再相同環境下分享出某個資料夾時(即便everyone具讀取權限),除非A,B兩電腦有相同的帳戶,
否則欲由網路芳鄰流覽該資料夾時一定會先比對帳號密碼,若不府則跳出驗證視窗.

我意思是,
今天我把B電腦的printer分享出來,一但A電腦有帳戶欲列印是否也會經過類似的過程,但即便如此也不會沒完沒了地比對驗證不停...??

另外即便windows的檔案列印分享(無AD時)靠的是 broadcast ,但應也不至於如我所遭遇之這般繁瑣吧??
我明天會在 B 電腦裝個擷取封包的工具看看是否真是廣播還是什麼再來回報.

b90220208
2008-07-16, 12:21 PM
我找到問題根源了!!!

所有一切原來是印表機的監控程式造成的
該死的小工具,整天在那登入又登出有時還一秒鐘好幾輪哩!

但我還是有些不明白,我光兩台就如此地嚴重,倘若共用的人數越多那麼分享主機光應付這些網路登入登出程序豈不成變相的阻斷服務攻擊.....難道是廠商程式開發的缺失嗎? 還是共用分享printer若有開監控本就會有這種情形??(會不會有人覺得我在耍寶啊有人能分享一下自己的經驗嗎)