设为首页收藏本站
ORF反垃圾邮件系统

邮件服务器-邮件系统-邮件技术论坛(BBS)

 找回密码
 会员注册

QQ登录

只需一步,快速开始

查看: 2185|回复: 4

[求助] 账号锁定原因查找?

[复制链接]
发表于 2017-11-14 19:45:38 | 显示全部楼层 |阅读模式
本帖最后由 maguoji 于 2017-11-14 19:49 编辑

钉子大师:
exchange 2010 sp3 with 更新汇总17 ,最近发现有部分账号反复由于失败登录被锁定(设定了错误登录5次就锁定),查找系统安全日志,显示原因失败登录的进程是imap4.EXE ,但是在imap日志中根本找不到该用户登录的任何信息(用户本人表示未使用该协议),关闭该用户的imap登录属性,在系统安全日志中仍然出现使用imap4进程登录该用户失败的情况。因此目前不知道从何下手查找原因?也不能确定登录的来源是否攻击,从哪发起的?
请帮忙分析一下!谢谢
发表于 2017-11-14 23:58:18 | 显示全部楼层
麻烦先检查一下这个IMAP4的进程是否为正常进程?停掉IMAP4的服务,这个进程还在吗?如果是IMAP4,为防止外部登录,可以从网关上限制IMAP4的端口,比如删除公外发布的端口。
 楼主| 发表于 2017-11-18 09:23:39 | 显示全部楼层
停掉服务,进程不在,打了汇总补丁18,确认该进程没有问题,防火墙关掉143,情况好很多,但仍有,主要不明白为何imap日志中没有任何信息,正常的访问是有日志的。目前将禁用时间改为30分钟来缓解访问问题
 楼主| 发表于 2017-11-21 10:42:26 | 显示全部楼层
经过仔细对比查找,发现日志中有记录,只是没有账号信息,只有下面信息
2017-11-21T01:55:54.981Z,0000000000000ACC,2,x.x.x.x:143,y.y.y.y:3681,,0,31,30,authenticate,plain,"R=""2 NO AUTHENTICATE failed."";Msg=AuthFailedogonDenied"
有的是这样,带着账号信息
2017-11-21T02:06:03.673Z,0000000000000AEA,6,x.x.x.x:143,y.y.y.y:57188,,15,42,267,authenticate,NTLM,"R=""A4 NO AUTHENTICATE failed."";RpcL=-1;LdapL=-1;Msg=AuthFailedogonDenied"
2017-11-21T02:06:03.767Z,0000000000000AEA,7,x.x.x.x:143,y.y.y.y:57188,,0,39,21,login,zzz@www.com*****,"R=""A5 NO LOGIN failed."";RpcL=-1;LdapL=-1;Msg=LogonFailedoginDenied"

可能带账号信息的记录是正常的?不带账号信息的属于破解的?不是很明白。
发表于 2017-11-29 11:25:07 | 显示全部楼层
正常不正常,要结合客户端IP确认。
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

小黑屋|手机版|Archiver|邮件技术资讯网    

GMT+8, 2019-12-9 23:26

Powered by Discuz! X3.2

© 2001-2016 Comsenz Inc.

本论坛为非盈利中立机构,所有言论属发表者个人意见,不代表本论坛立场。内容所涉及版权和法律相关事宜请参考各自所有者的条款。
如认定侵犯了您权利,请联系我们。本论坛原创内容请联系后再行转载并务必保留我站信息。此声明修改不另行通知,保留最终解释权。
*本论坛会员专属QQ群:邮件技术资讯网会员QQ群
*本论坛会员备用QQ群:邮件技术资讯网备用群

快速回复 返回顶部 返回列表