Precedente :: Successivo |
Autore |
Messaggio |
horus Macchinista
Registrato: 22/03/05 09:48 Messaggi: 2554 Residenza: Sirio e dintorni
|
Inviato: 15 Set 2005 09:45 Oggetto: Accessi notturni |
|
|
Sistema operativo: Windows Server 2003
Nei log di sicurezza compaiono nelle ore notturne numerose righe di questo tipo:
Codice: |
User: NT AUTHORITY\ANONYMOUS LOGON
Successful Network Logon:
User Name:
Domain:
Logon ID: (0x0,0x81BD14)
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: *******
Logon GUID: -
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: *******
Source Port: 0 |
Ho asteriscato nome macchina e ip ma sul log ci sono.
Ovviamente il guest è disabilitato, cosa può essere? |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11558 Residenza: Tokelau
|
Inviato: 15 Set 2005 12:07 Oggetto: |
|
|
guarda il "logon type" e controlla qui |
|
Top |
|
|
horus Macchinista
Registrato: 22/03/05 09:48 Messaggi: 2554 Residenza: Sirio e dintorni
|
Inviato: 15 Set 2005 12:40 Oggetto: |
|
|
Il Logon type è 3 e il sito che mi hai segnalato dice:
Citazione: | Windows logs logon type 3 in most cases when you access a computer from elsewhere on the network. One of the most common sources of logon events with logon type 3 is connections to shared folders or printers. But other over-the-network logons are classed as logon type 3 as well such as most logons to IIS. (The exception is basic authentication which is explained in Logon Type 8 below.) |
Ho provato ad accedere al sito web che c'è su quella macchina ma non viene loggato e poi quando ci sono accessi dell'utente IIS viene scritto:
Citazione: | User Name: NETWORK SERVICE |
mentre nel caso incriminato c'è scritto:
Citazione: | User Name: ANONYMOUS LOGIN |
Devo quindi ritenete che ci sia un tentativo di accesso non autorizzato? Per la cronaca, immediatamente dopo il logon avviene il logoff facendomi pensare ad una procedura automatica. |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11558 Residenza: Tokelau
|
Inviato: 15 Set 2005 13:56 Oggetto: |
|
|
propenderei più per
Citazione: | connections to shared folders or printers |
... |
|
Top |
|
|
horus Macchinista
Registrato: 22/03/05 09:48 Messaggi: 2554 Residenza: Sirio e dintorni
|
Inviato: 15 Set 2005 14:16 Oggetto: |
|
|
Ancora una volta grazie SverX, non ci sono condivisioni se non quelle di sistema. Effettivamente facendo:
Mi è uscito quell'evento. Ora non mi resta che da capire perché di notte cercano di collegarsi a quella macchina. |
|
Top |
|
|
|