Windows日志分析
某用户2019年12月31日上午报障,说他云主机密码被改了,昨天还能登录的。用户后来通过天翼云自带的密码重置功能进去了,进去后发现了一个system32账户。
一、问题
1、请分析日志,找出攻击者创建system32账户的时间
2、找出攻击者修改administrator密码的时间
二、解答
1、打开日志文件,按任务类别排序排序,找到“用户帐户管理”这一类,然后挨个查看
2、同样是在“用户帐户管理”这一类挨个查找,发现早上6:13:27有一条事件ID是4724的“试图重置账户密码”日志
还有一条同一时刻的事件ID是4738的“已更改用户帐户”的日志
把这条日志下面的滚动条拖下去一点,发现administrator密码的更改时间。
(还有10点多钟的更改密码的日志,跟用户确认后发现是他自己操作的)
三、引申
一些常见的Windows日志的事件ID要记住,分析日志可以直接根据ID筛选。
如“已创建用户账户”是4720,“试图重置账户密码”是4724,重置成功后会有4738“已更改用户帐户”的日志。
另外4624是登录成功,4625是登录失败。本案例日志文件里有很多4625,就是说明有人在暴力破解。在登录成功日志中,如果登录类型是10,说明是远程登录,在详细内容里可以看到登录IP,如下图所示:(一张图截不下,分了2张)
关于“登录类型”的说明如下:
登录类型2:交互式登录(INTERACTIVE)
本地键盘上的登录,基于网络上的KVM登录也是这种类型
登录类型3:网络(NETWORK)
当你从网络访问一台PC时WINDOWS记为类型3,常见的是通过网络连接到共享文件夹或共享打印机!
登录类型4:批处理(BATCH)
运行计划任务是产生的记录类型..也可能是HACKER通过它来猜测用户密码
登录类型5:服务(SERVICE)
一个服务开始时,WINDOWS为这个特定的用户创造的一个登录会话
登录类型7:解锁(UNLOOK)
解除锁定的PC密码,比如对屏保密码的解除操作
登录类型8:网络明文(NETWORKCLEARTEXT) 网络明文传输
登录类型9:新凭证(NEWCREDENTIALS)
登录类型10:远程交互(REMOTEINTERACTIVE)
通过终端服务,远程桌面访问
登录类型11:缓存交互(CACHEDINTERACTIVE)