我们的邮件服务器的安全日志中出现大量的验证失败的日志,是不是备份攻击或是有人在尝试登录??
事件类型: 审核失败
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期: 2014-2-19
事件: 9:36:35
用户: NT AUTHORITY\SYSTEM
计算机: DCBPR-FMAIL01
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 -------这是什么意思?
登录帐户: XXXX@dachanbayone.com
源工作站: PW0IBOKRVCZDUNR---这是什么名称??我们的域名不是该名称,工作组也没有这个名称。
错误代码: 0xC0000064
事件类型: 审核失败
事件来源: Security
事件种类: 登录/注销
事件 ID: 529
日期: 2014-2-19
事件: 9:36:35
用户: NT AUTHORITY\SYSTEM
计算机: DCBPR-FMAIL01
描述:
登录失败:
原因: 用户名未知或密码错误
用户名: Administrator
域: PW0IBOKRVCZDUNR -------------------这是什么名称??我们的域名不是该名称,工作组也没有这个名称。
登录类型: 3
登录进程: NtLmSsp
身份验证数据包: NTLM
工作站名称: PW0IBOKRVCZDUNR
调用方用户名: -
调用方域: -
调用方登录 ID: -
调用方进程 ID: -
传递服务: -
源网络地址: -
源端口: -
事件类型: 审核失败
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期: 2014-2-19
事件: 9:36:35
用户: NT AUTHORITY\SYSTEM
计算机: DCBPR-FMAIL01
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: Administrator
源工作站: PW0IBOKRVCZDUNR
错误代码: 0xC000006A