23_Alby23
15-09-2011, 10:28
Un cliente sta riscontrando, in uno dei suoi stabilimenti, una situazione strana.
In pratica collegandosi all'LDAP del dominio, analizzando tutti gli utenti di dominio, si hanno i valori relativi al campo badPasswordTime molto recenti ed in continuo aggiornamento (e, soprattutto, in orari non da ufficio).
Ora, non so se c'e' qualcuno che ha qualche script o simili che prova l'autenticazione o se, piu' probabilmente, c'e' qualcosa di infetto che circola e prova queste autenticazioni.
Fatto sta che questa situazione non e' sostenibile.
La domanda.
Esiste un qualcosa (sniffer o quello che volete) in grado di analizzare da chi arrivano i tentavi di login sul dominio?
Qualsiasi input e' utile...
Thanks!
In pratica collegandosi all'LDAP del dominio, analizzando tutti gli utenti di dominio, si hanno i valori relativi al campo badPasswordTime molto recenti ed in continuo aggiornamento (e, soprattutto, in orari non da ufficio).
Ora, non so se c'e' qualcuno che ha qualche script o simili che prova l'autenticazione o se, piu' probabilmente, c'e' qualcosa di infetto che circola e prova queste autenticazioni.
Fatto sta che questa situazione non e' sostenibile.
La domanda.
Esiste un qualcosa (sniffer o quello che volete) in grado di analizzare da chi arrivano i tentavi di login sul dominio?
Qualsiasi input e' utile...
Thanks!