作者 主題: 被網路中的其他電腦不停地登入登出攻擊  (閱讀 15246 次)

0 會員 與 1 訪客 正在閱讀本文。

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
電腦(B)事件檢視器中的安全性紀錄有一堆的網路登入登出紀錄如下

使用者名稱: USER-A
logon type: 3
登入處理: NtLmSsp
驗證封裝: NTLM
工作站名稱: A

補充說明一下:
B 電腦中設有 A 電腦的 USER-A 帳戶

每隔 12 秒就來一輪(數字為 event id)
540(網路登入成功) -> 576(指派特殊權限至新登入) -> 538(使用者登出)

一整天跑不停,除非將該攻擊電腦 (A) 的 USER-A 帳戶登出,才停止攻擊.但一登入就又開始了...這是被攻擊了嗎??
« 上次編輯: 2008-07-14 12:26 由 b90220208 »

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
附圖是我在A電腦執行 netstat 的結果
(塗掉的部份即A電腦)

PS.
不知那堆12開頭的PORT NUMBER是做什麼用的

phantom

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 2185
    • 檢視個人資料
Linux 非萬能, 沒 Linux 萬萬不能.
root = God
apt-get install ultimate-horsepower

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
原來是avast開的port

還在抓問題
目前 A 從網路登入 B 已變本加厲為1秒10幾次了... A -> B 間的網路已嚴重癱瘓,

JOJO10

  • 活潑的大學生
  • ***
  • 文章數: 337
    • 檢視個人資料
    • 打破傳統
之前我朋友也遇過這問題,她架設的網站(不到一個月),被大陸一個IP,狂攻擊,導致網站都會不穩
後來問老師,老師說像這種攻擊,存在網路太多了,普通防毒軟體只能偵測,防衛有限

yoww

  • 活潑的大學生
  • ***
  • 文章數: 431
    • 檢視個人資料
    • 唉呦~MIS先生
電腦B上面開了甚麼服務?
電腦B的netstat結果?
電腦A是連電腦B甚麼PORT?

我只有在AD有看過這種大量被登出登入的狀況
如果B不是AD的話 很有可能是A中毒了
唉呦~MIS先生 http://i-yow.blogspot.com/
寶貝的天空      http://3-baby.blogspot.com/

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
電腦B上面開了甚麼服務?
電腦B的netstat結果?
電腦A是連電腦B甚麼PORT?

我只有在AD有看過這種大量被登出登入的狀況
如果B不是AD的話 很有可能是A中毒了

無 AD 網域(OS 皆XP SP3)
PS. 掃毒,更新都做過了,且昨天因無對策還將 A 給格式化重灌


搞了一天原來是印表機在作怪

話說從頭...
B電腦將其上的印表機分享出來
A電腦帳戶要列印時,在B的登入事件稽核中會不斷出現A的帳戶的登出入紀錄(從每12秒一輪到每秒好幾輪登入登出...然後A-B間網路掛掉)

怪的是,只要我在A電腦點選網路芳鄰並進入B電腦後,這在B電腦的大量登入登出行為馬上停止(A-B間的網路隨即正常)


有人知道是什麼情況嗎?....萬分感激#


JOJO10

  • 活潑的大學生
  • ***
  • 文章數: 337
    • 檢視個人資料
    • 打破傳統
你是發生A電腦不能列印,但B電腦可以列印對吧

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
你是發生A電腦不能列印,但B電腦可以列印對吧
謝謝,不過我不大懂您的意思??
既然A得透過網路藉由B所分享的PRINTER列印
若網路壅塞,當然只有B能印.

JOJO10

  • 活潑的大學生
  • ***
  • 文章數: 337
    • 檢視個人資料
    • 打破傳統
你兩台電腦距離因該很近對吧,所以不太會有網路雍塞問題,而且你說用A主機列印,B電腦稽核日誌檔會有一直被不斷登出登入,互換兩台主機又沒有這個問題,A電腦也格式化過,你要不要試試把印表機重新設定


我印表機也有一個問題,A可以列印,B不能列印(我有用KVM)不知道是不是KVM問題

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
你兩台電腦距離因該很近對吧,所以不太會有網路雍塞問題,而且你說用A主機列印,B電腦稽核日誌檔會有一直被不斷登出登入,互換兩台主機又沒有這個問題,A電腦也格式化過,你要不要試試把印表機重新設定


我印表機也有一個問題,A可以列印,B不能列印(我有用KVM)不知道是不是KVM問題

謝謝
其實我印表機driver已經重裝多次過(下午火大連B也格式化重安)
printer其安全性是用預設的(everyone 都能印),並啟用分享.
A,B都取消簡易共用.區網環境無AD,...就是個很普通的LAN而已.

我是有想過一個問題
例如你今天若再相同環境下分享出某個資料夾時(即便everyone具讀取權限),除非A,B兩電腦有相同的帳戶,
否則欲由網路芳鄰流覽該資料夾時一定會先比對帳號密碼,若不府則跳出驗證視窗.

我意思是,
今天我把B電腦的printer分享出來,一但A電腦有帳戶欲列印是否也會經過類似的過程,但即便如此也不會沒完沒了地比對驗證不停...??

另外即便windows的檔案列印分享(無AD時)靠的是 broadcast ,但應也不至於如我所遭遇之這般繁瑣吧??
我明天會在 B 電腦裝個擷取封包的工具看看是否真是廣播還是什麼再來回報.



JOJO10

  • 活潑的大學生
  • ***
  • 文章數: 337
    • 檢視個人資料
    • 打破傳統
你A電腦是使用者帳號還是ADMIN??
我電腦印表機問題比你還大,哈哈
其中一台永遠抓不到印表機,但可以設定到印表機,超奇怪
我一直在懷疑是KVM把USB鎖定在一台主機,我開印表機分享都沒有用


我想到一個好方法了,你A電腦開一個新帳號(管理員的),去設定印表機,因該可以印了
« 上次編輯: 2008-07-16 01:02 由 JOJO10 »

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
我找到問題根源了!!!

所有一切原來是印表機的監控程式造成的 :'( :'( :'(
該死的小工具,整天在那登入又登出有時還一秒鐘好幾輪哩!

但我還是有些不明白,我光兩台就如此地嚴重,倘若共用的人數越多那麼分享主機光應付這些網路登入登出程序豈不成變相的阻斷服務攻擊.....難道是廠商程式開發的缺失嗎? 還是共用分享printer若有開監控本就會有這種情形??(會不會有人覺得我在耍寶啊 :-[ :-[有人能分享一下自己的經驗嗎 :-[ )

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
共享印表機.... 中小型企業應該不會如此用,會使用 Printer Server 的架構吧 ?!
Networking & Communication Security SE

JOJO10

  • 活潑的大學生
  • ***
  • 文章數: 337
    • 檢視個人資料
    • 打破傳統
我們公司用共享印表機
哈哈
蠻省的
監控程式??關掉就沒有登入燈出問題嗎??理論上要怎解釋這問題??
學長可以教一下嗎??感恩

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
我真的很好奇是否真是印表機driver或監控程式的問題(畢竟盧了那麼久 )
今天要不是我碰巧看了登入事件稽核紀錄根本難以知道出了問題!!!

打電話去諮詢
只說建議我到client端用光碟片一台一台地以本機印表機安裝再去更改連接埠較不會有問題.......但並沒有正面回答我的狀況!

原本我是懷疑被人攻擊
因為從稽核紀錄,該client(列印需求電腦)即便已經完成列印工作,仍然在那兒不停地登入登出,更怪的是,還會漸進式增加攻擊次數,從一開始30秒登入登出一輪.....到後來變成1秒10幾輪,有bug會這樣搞的嗎???



JOJO10

  • 活潑的大學生
  • ***
  • 文章數: 337
    • 檢視個人資料
    • 打破傳統
A電腦使用印表機,會出現登出登入問題,但B登入A就不會有,A電腦又重灌過,那問題是印表機沒法辨識A電腦,共享有問題

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
問題已解決,以下純討論:
(就是一台一台 client 以本機安裝印表 driver 再變更連接埠成 //B/PRINTER ,且各 client 都要使用能登入 B 的帳號密碼,不然就是得手動先登入網芳的 B 後才可列印),


有網友回應如下:
引用
...因為你遠端的電腦如果要監控那台印表機,就要拿到權限
沒有權限就得要登入,不過可能登入被本機印表機那台退掉(因為本機也有監控?)
,所以只好再登,如果監控程式再提高監控強度,就一直登下去.......

我的 A 與 B 確實是都有執行監控程式,然關於上述網友提到的這段話 --
A 登入 B 後被其退掉是何道理? (有人可解釋一下否,感激不盡!  )

JOJO10

  • 活潑的大學生
  • ***
  • 文章數: 337
    • 檢視個人資料
    • 打破傳統
不斷登入,因為監控軟體,但本身DRIVER A的有問題,監控軟體一直執行自動登入,主機B不能驗證主機A

thomasc

  • 可愛的小學生
  • *
  • 文章數: 24
    • 檢視個人資料
該不會是HP的5200印表機吧?driver寫的爆爛,靈異現像一大堆

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
是 epson stylus photo1390
(有改連續供墨...不知有無影響 :-\)

shadowkill

  • 懷疑的國中生
  • **
  • 文章數: 52
    • 檢視個人資料
改連供應該不會有所影嚮,會影嚮到的是你印表機的噴頭。

« 上次編輯: 2008-09-04 18:18 由 shadowkill »
你google了嗎?