| Precedente :: Successivo |
| Autore |
Messaggio |
horus
Macchinista
Registrato: 22/03/05 10:48
Messaggi: 2554
Residenza: Sirio e dintorni
|
 Inviato: 15 Set 2005 10:45 Oggetto: Accessi notturni |
 |
|
Sistema operativo: Windows Server 2003
Nei log di sicurezza compaiono nelle ore notturne numerose righe di questo tipo:
| Codice: |
User: NT AUTHORITY\ANONYMOUS LOGON
Successful Network Logon:
User Name:
Domain:
Logon ID: (0x0,0x81BD14)
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: *******
Logon GUID: -
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: *******
Source Port: 0 |
Ho asteriscato nome macchina e ip ma sul log ci sono.
Ovviamente il guest è disabilitato, cosa può essere? |
|
| Top |
|
 |
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11861
Residenza: Tokelau
|
| Inviato: 15 Set 2005 13:07 Oggetto: |
|
|
guarda il "logon type" e controlla qui  |
|
| Top |
|
|
horus
Macchinista
Registrato: 22/03/05 10:48
Messaggi: 2554
Residenza: Sirio e dintorni
|
| Inviato: 15 Set 2005 13:40 Oggetto: |
|
|
Il Logon type è 3 e il sito che mi hai segnalato dice:
| Citazione: | | Windows logs logon type 3 in most cases when you access a computer from elsewhere on the network. One of the most common sources of logon events with logon type 3 is connections to shared folders or printers. But other over-the-network logons are classed as logon type 3 as well such as most logons to IIS. (The exception is basic authentication which is explained in Logon Type 8 below.) |
Ho provato ad accedere al sito web che c'è su quella macchina ma non viene loggato e poi quando ci sono accessi dell'utente IIS viene scritto:
| Citazione: | | User Name: NETWORK SERVICE |
mentre nel caso incriminato c'è scritto:
| Citazione: | | User Name: ANONYMOUS LOGIN |
Devo quindi ritenete che ci sia un tentativo di accesso non autorizzato? Per la cronaca, immediatamente dopo il logon avviene il logoff facendomi pensare ad una procedura automatica. |
|
| Top |
|
|
SverX
Supervisor Macchinisti
Registrato: 25/03/02 12:16
Messaggi: 11861
Residenza: Tokelau
|
| Inviato: 15 Set 2005 14:56 Oggetto: |
|
|
propenderei più per
| Citazione: | | connections to shared folders or printers |
... |
|
| Top |
|
|
horus
Macchinista
Registrato: 22/03/05 10:48
Messaggi: 2554
Residenza: Sirio e dintorni
|
| Inviato: 15 Set 2005 15:16 Oggetto: |
 |
|
Ancora una volta grazie SverX, non ci sono condivisioni se non quelle di sistema. Effettivamente facendo:
Mi è uscito quell'evento. Ora non mi resta che da capire perché di notte cercano di collegarsi a quella macchina. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
