|
|
|
|
| Компьютерный форум OSzone.net » Клиентские ОС Microsoft » Microsoft Windows 10 » Разное - [решено] Спам в журнал Security - Event 4634 Выход из системы (Гость) |
|
|
Разное - [решено] Спам в журнал Security - Event 4634 Выход из системы (Гость)
|
|
Новый участник Сообщения: 14 |
Система Windows 10 Pro 1909 x64
Обнаружил что на домашней десятке журнал событий безопасности забит событиями Event ID 4634 - Выполнен выход из системы. События постоянно появляются, каждые 1-5 секунд, журнал забит полностью под заявязку. Подробности о событии: Скрытый текст
Код:
 Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 20.04.2020 0:35:41
Код события: 4634
Категория задачи:Logoff
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: Bigbro
Описание:
Выполнен выход учетной записи из системы.
Субъект:
ИД безопасности: BIGBRO\Гость
Имя учетной записи: Гость
Домен учетной записи: BIGBRO
Код входа: 0x2CA632AA
Тип входа: 3
Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4634</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12545</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2020-04-19T21:35:41.343351300Z" />
<EventRecordID>1393681</EventRecordID>
<Correlation />
<Execution ProcessID="1100" ThreadID="5028" />
<Channel>Security</Channel>
<Computer>Bigbro</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserSid">S-1-5-21-1747285774-1956355325-156306025-501</Data>
<Data Name="TargetUserName">Гость</Data>
<Data Name="TargetDomainName">BIGBRO</Data>
<Data Name="TargetLogonId">0x2ca632aa</Data>
<Data Name="LogonType">3</Data>
</EventData>
</Event>
Logon type = 3 вроде как свидетельствует о сетевом входе в систему. Но почему эти события валятся таким сполшным потоком, как можно выяснить? Screenshot_60.png |
|
|
Отправлено: 00:51, 20-04-2020 |
|
(*.*) Сообщения: 36567
|
Профиль | Сайт | Отправить PM | Цитировать Включен ли Гость, и если да, то зачем?
Ответ на первый вопрос в PowerShell от имени администратора Код:
Get-LocalUser Гость |
|
------- Отправлено: 10:07, 20-04-2020 | #2 |
|
Новый участник Сообщения: 14
|
Профиль | Отправить PM | Цитировать Учетка Гостя включена. Она включается сама при установле опции "Отключить общий доступ доступ с парольной защитой" в Дополнительных параметрах общего доступа.
Доступ с парольной защитой в свою очередь отключен чтобы домашние могли подключаться к шаре с фильмами без необходимости ввода пароля. Но спам в лог идет постоянный, я писал пост после полуночи когда все спят и шарами никто не пользуется. |
|
Отправлено: 13:56, 20-04-2020 | #3 |
|
Новый участник Сообщения: 14
|
Профиль | Отправить PM | Цитировать Включил аудит входа в систему и аудит событий входа в систему.
Теперь видна такая последовательность: Фиксируются несколько событий Аудита Отказа Event 4776 Credential validation, например: Скрытый текст
Имя журнала: Security Источник: Microsoft-Windows-Security-Auditing Дата: 20.04.2020 14:04:47 Код события: 4776 Категория задачи:Credential Validation Уровень: Сведения Ключевые слова:Аудит отказа Пользователь: Н/Д Компьютер: Bigbro Описание: Компьютер попытался проверить учетные данные учетной записи. Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Учетная запись входа: ЮЛИАН Исходная рабочая станция: Код ошибки: 0xC0000064 Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" /> <EventID>4776</EventID> <Version>0</Version> <Level>0</Level> <Task>14336</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2020-04-20T11:04:47.681451200Z" /> <EventRecordID>1411013</EventRecordID> <Correlation ActivityID="{7dac4cce-16ab-0000-114e-ac7dab16d601}" /> <Execution ProcessID="1084" ThreadID="13944" /> <Channel>Security</Channel> <Computer>Bigbro</Computer> <Security /> </System> <EventData> <Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data> <Data Name="TargetUserName">ЮЛИАН</Data> <Data Name="Workstation"> </Data> <Data Name="Status">0xc0000064</Data> </EventData> </Event> в каждом из событий разные имена пользователей, похоже на часто используемые, но явно не мои, например Demo ЮЛИАН administrator bar Office1 Гость GLAVBUH БАЗА2 далее идет Аудит отказа, событие Logon 4625, с соответсвующим именем пользователя Скрытый текст
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing Дата: 20.04.2020 14:14:07 Код события: 4625 Категория задачи:Logon Уровень: Сведения Ключевые слова:Аудит отказа Пользователь: Н/Д Компьютер: Bigbro Описание: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Учетная запись, которой не удалось выполнить вход: ИД безопасности: NULL SID Имя учетной записи: БАЗА2 Домен учетной записи: Сведения об ошибке: Причина ошибки: Неизвестное имя пользователя или неверный пароль. Состояние: 0xC000006D Подсостояние: 0xC0000064 Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x0 Имя процесса вызывающей стороны: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: 138.99.216.124 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался. Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" /> <EventID>4625</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2020-04-20T11:14:07.805763600Z" /> <EventRecordID>1411493</EventRecordID> <Correlation ActivityID="{7dac4cce-16ab-0000-114e-ac7dab16d601}" /> <Execution ProcessID="1084" ThreadID="13944" /> <Channel>Security</Channel> <Computer>Bigbro</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-0-0</Data> <Data Name="SubjectUserName">-</Data> <Data Name="SubjectDomainName">-</Data> <Data Name="SubjectLogonId">0x0</Data> <Data Name="TargetUserSid">S-1-0-0</Data> <Data Name="TargetUserName">БАЗА2</Data> <Data Name="TargetDomainName"> </Data> <Data Name="Status">0xc000006d</Data> <Data Name="FailureReason">%%2313</Data> <Data Name="SubStatus">0xc0000064</Data> <Data Name="LogonType">3</Data> <Data Name="LogonProcessName">NtLmSsp </Data> <Data Name="AuthenticationPackageName">NTLM</Data> <Data Name="WorkstationName">-</Data> <Data Name="TransmittedServices">-</Data> <Data Name="LmPackageName">-</Data> <Data Name="KeyLength">0</Data> <Data Name="ProcessId">0x0</Data> <Data Name="ProcessName">-</Data> <Data Name="IpAddress">138.99.216.124</Data> <Data Name="IpPort">0</Data> </EventData> </Event> В тот момент когда идет попытка под Гостем, фикируется аудит успеха (вход), а потом аудит успеха (выход) который как раз я описал в первом сообщении. Как можно попытаться найти источник этой гадости? UPD!! Проблема найдена. На роутере был проброшен 3389 в сторону компа. Соответсвенно видим обычный брутфорс RDP. Видимо просто под гостем у них авторизация срабатывала, поэтому фиксировался аудит выхода который по дефолту пишется в журнал. Но под гостем RDP нельзя, так что перебор шел дальше.. |
|
Последний раз редактировалось Demax, 20-04-2020 в 14:24. Отправлено: 14:17, 20-04-2020 | #4 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Windows Live Mail - постоянно приходит спам или не спам | medvedkovo | Лечение систем от вредоносных программ | 2 | 19-04-2016 14:49 | |
| 2008 R2 - Постоянно генерируется аудит успеха EventID (4634, 4624, 4672) | Kursor_kvk | Windows Server 2008/2008 R2 | 4 | 20-08-2013 06:58 | |
| Ошибки в Security - Event id 566 | garbals | Microsoft Windows NT/2000/2003 | 5 | 23-01-2012 12:28 | |
| Event Viewer - ветка Security - слишком много записей | dodger | Microsoft Windows NT/2000/2003 | 9 | 17-12-2009 14:16 | |
| Не работает вкладка Security в Event Viewer | PGennady | Microsoft Windows NT/2000/2003 | 6 | 28-01-2003 18:08 | |
|
|
Время: 05:21. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
