Windows-Server-2016

如何找出我網路上的哪台電腦正在登錄 Exchange 2016 以及登錄的時間

  • November 11, 2021

最近,多名員工來找我說,他們的交易所賬戶在幾天的時間跨度內遭到入侵。我有一個理論,域內的一台電腦上存在某種形式的蠕蟲,它會定期向客戶和承包商發送垃圾郵件/網路釣魚連結。我已經在所有電腦上嘗試了多個 AV 掃描器,但它們都變成了空的。

這個問題的要點:我需要找出使用者登錄的來源,以便我可以開始解決問題。 我如何找出使用者登錄的來源以及登錄發生的時間,以便可以與返回給我們的一些被拒絕的垃圾郵件交叉引用。

  • 交換 2016 CU9 v15.1
  • 視窗伺服器 2016 v1607

您可以導航到儲存 IIS 日誌的以下位置:

%SystemDrive%\inetpub\logs\LogFiles\W3SVC1

IIS 日誌包括來自 ECP、OWA、ActiveSync、Mapi 等的訪問請求資訊(例如 IP 地址、使用者名、服務、埠)。

IIS 日誌中的資訊如下所示:

在此處輸入圖像描述

也許IIS日誌可以幫助您找到罪魁禍首。

另外,根據您的描述,您的Exchange伺服器版本不是最新的,最好安裝最新的CU/SU版本的Exchange。通常,最新的 CU/SU 包括針對非安全問題的修復程序以及所有以前發布的針對安全和非安全問題的修復程序:用於 Exchange 2016 的 CU22

最近在Exchange 2013/2016/2019中發現了幾個漏洞,其中一個漏洞與欺騙有關:

引用自:https://serverfault.com/questions/1083176