/u/226077/crop5ef8bc098bbf3_cropped.png?f=community)
Zonet de logs van mijn exchange server nagekeken en kwam erachter dat er vanmorgen tussen 10:49 en 11:30 ontzettend veel failed logins zijn er geweest met allemaal logon accounts die niet bestaan.
Om 11:36 zie je vervolgens dat er met 1 gebruikersnaam die inderdaad bestaat meerdere malen is geprobeerd in te loggen.
Dit account is na 5 maal proberen locked out geraakt en de gebruikster pingde mij dan ook dat de mail op haar telefoon vreemde fratsen vertoonde.
Bij al die login pogingen zie ik geen ip adres staan en kan dus moeilijk achterhalen wie dit geweest is.
Wel zie ik bij de poginen die vervolgens een Account Lockout event hebben gegenereerd een ip-adres staan.
Mijn vraag aan jullie is nu: wat kan ik doen om er voor te zorgen dat een bepaald ip-adres geblokkeerd wordt wanneer er zoveel failed login attempts vandaan komen.
De pogingen lijken overigens allemaal op de pop3 connector geprobeerd te zijn.
Om 11:36 zie je vervolgens dat er met 1 gebruikersnaam die inderdaad bestaat meerdere malen is geprobeerd in te loggen.
Dit account is na 5 maal proberen locked out geraakt en de gebruikster pingde mij dan ook dat de mail op haar telefoon vreemde fratsen vertoonde.
Bij al die login pogingen zie ik geen ip adres staan en kan dus moeilijk achterhalen wie dit geweest is.
Wel zie ik bij de poginen die vervolgens een Account Lockout event hebben gegenereerd een ip-adres staan.
Mijn vraag aan jullie is nu: wat kan ik doen om er voor te zorgen dat een bepaald ip-adres geblokkeerd wordt wanneer er zoveel failed login attempts vandaan komen.
De pogingen lijken overigens allemaal op de pop3 connector geprobeerd te zijn.
[ Voor 6% gewijzigd door Fonta op 19-02-2011 13:55 ]
/u/96077/crop5b8d7c89bae9d_cropped.png?f=community)
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
:strip_icc():strip_exif()/u/268386/crop56fea987ec56c_cropped.jpeg?f=community)
