作者 主題: 關於mail server 帳號被 try 的問題  (閱讀 4052 次)

0 會員 與 1 訪客 正在閱讀本文。

dicky9055

  • 可愛的小學生
  • *
  • 文章數: 1
    • 檢視個人資料
關於mail server 帳號被 try 的問題
« 於: 2010-10-20 22:23 »
最近公司的MAIL server
好像都有人在TRY 某一個帳號
其事件ID:4625
其事件記錄內容如下:

引用
帳戶無法登入。

主旨:
   安全性識別碼:      SYSTEM
   帳戶名稱:      MAIL-S$
   帳戶網域:      xxx
   登入識別碼:      0x3e7

登入類型:         3

登入失敗的帳戶:
   安全性識別碼:      NULL SID
   帳戶名稱:      sandy
   帳戶網域:      

失敗資訊:
   失敗原因:      不明的使用者名稱或錯誤密碼。
   狀態:         0xc000006d
   子狀態:      0xc000006a

處理程序資訊:
   呼叫者處理程序識別碼:   0xb1c
   呼叫者處理程序名稱:   C:\Program Files\Microsoft\Exchange Server\ClientAccess\PopImap\Microsoft.Exchange.Pop3.exe

網路資訊:
   工作站名稱:   MAIL-S
   來源網路位址:   -
   來源連接埠:      -

詳細驗證資訊:
   登入處理程序:      Advapi  
   驗證封裝:   MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
   轉送的服務:   -
   封裝名稱 (僅限 NTLM):   -
   金鑰長度:      0

當登入要求失敗的時候,就會產生這個事件。這個事件在嘗試存取的電腦上產生。

主旨欄位顯示要求登入的本機系統上的帳戶。這通常是發生在服務 (例如伺服器服務) 或是本機處理程序 (例如 Winlogon.exe 或 Services.exe)。

登錄類型欄位顯示要求的登入類型。最常見的類型是 2 (互動式) 與 3 (網路)。

處理程序資訊欄位顯示系統上哪個帳戶與處理程序要求登入。

網路資訊欄位顯示遠端登入要求的來源。工作站名稱不是每次都有,並可能在某些狀況是空白。

驗證資訊欄位提供關於此次特定登入要求的詳細資訊。
   - 轉送的服務欄位顯示哪一個中介服務已經加入這個登入要求。
   - 封裝名稱欄位顯示在 NTLM 通訊協定中使用哪一個子協定。
   - 金鑰長度欄位顯示產生的工作階段金鑰長度。如果沒有要求工作階段金鑰則為 0。


想問一下。。
有沒有辦法追蹤這個人的IP呢?
又有什麼方法。。。
謝謝大家
« 上次編輯: 2010-10-20 23:19 由 dicky9055 »