[ neobgd @ 28.02.2009. 11:31 ] @
| Log sa IIS 6 daje sledece: 2009-02-28 10:45:08 W3SVC1488898480 192.168.100.251 OPTIONS / - 80 - 192.168.108.2 Microsoft-WebDAV-MiniRedir/5.1.2600 403 6 64 2009-02-28 10:45:09 W3SVC1488898480 192.168.100.251 OPTIONS / - 80 - 192.168.108.2 Microsoft-WebDAV-MiniRedir/5.1.2600 403 6 64 2009-02-28 10:45:09 W3SVC1488898480 192.168.100.251 OPTIONS / - 80 - 192.168.108.2 Microsoft-WebDAV-MiniRedir/5.1.2600 403 6 64 2009-02-28 10:45:10 W3SVC1488898480 192.168.100.251 OPTIONS / - 80 - 192.168.108.2 Microsoft-WebDAV-MiniRedir/5.1.2600 403 6 64 a netlog daje sledece: 02/28 10:45:18 [LOGON] DOMING: SamLogon: Network logon of Domain\username from (computer name) Entered 02/28 10:45:18 [LOGON] DOMING: SamLogon: Network logon of Domain\username from (computer name) Returns 0xC0000234 02/28 10:45:19 [LOGON] DOMING: SamLogon: Network logon of Domain\username from (computer name) Entered 02/28 10:45:19 [LOGON] DOMING: SamLogon: Network logon of Domain\username from (computer name) Returns 0xC0000234 Rezultati u ukruženju: 1. Pokusaji logovanja uvek dolaze sa jednog racunara u mrezi 2. Pokusaji dolaze sa pravim usernam-om i to od navodno svih korisnika domain-a, odnosno user name se naizmenicno smenjuje 3. Ovo dovodi do zakljucavanja naloga na domenu usled očigledno pogresnih passworda Probano: 1. Skeniranje sa F-Secure Client Securiti 8 svih umesanih racunara 2. Na klijentskoj masini sa koje dolaze napadi u registriju onemogucen webdav Bio bih zahvalan na bilo kakvoj ideji...i da napomenem da sam probao jos dosta stvari sa raznih foruma...itd. |