Тысячи неудачных входов в систему [Код 4625]

629
modsfabio

Я получаю много неудачных входов в систему на моем корневом сервере Windows.

Я уже заблокировал порт RDP, но в окне просмотра событий я все еще вижу много неудачных входов в систему. Они выглядят так:

Fehler beim Anmelden eines Kontos.  Antragsteller: Sicherheits-ID: NULL SID Kontoname: - Kontodomäne: - Anmelde-ID: 0x0  Anmeldetyp: 3  Konto, für das die Anmeldung fehlgeschlagen ist: Sicherheits-ID: NULL SID Kontoname: Administrator Kontodomäne: JSJFIDC  Fehlerinformationen: Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort. Status: 0xc000006d Unterstatus:: 0xc000006a  Prozessinformationen: Aufrufprozess-ID: 0x0 Aufrufprozessname: -  Netzwerkinformationen: Arbeitsstationsname: JSJFIDC Quellnetzwerkadresse: 222.186.21.162 Quellport: 3074  Detaillierte Authentifizierungsinformationen: Anmeldeprozess: NtLmSsp  Authentifizierungspaket: NTLM Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0  Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.  Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".  Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).  Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.  Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.  Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

Проблема в том, что это похоже на атаку грубой силой. Исходный IP-адрес (в данном случае 222.186.21.162) каждый раз отличается, и я получаю неудачные входы почти каждую секунду.

Важна эта часть:

 Anmeldeprozess: NtLmSsp  Authentifizierungspaket: NTLM ...... Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.

Это говорит 

 Authentication Process: NtLmSsp  Auth Packet: NTLM ...... Problem: Unknown username or password

Так что я думаю, что это имеет какое-то отношение к NTLM ..

Нужен ли NTLM? Или есть возможность его заблокировать?

0
Здравствуйте и добро пожаловать в SuperUser! К сожалению, некоторые люди здесь (включая меня) не могут говорить по-немецки, что затрудняет диагностику вашей проблемы. Можете ли вы прокомментировать вывод журнала, особенно те части, которые указывают на проблему? Nathan.Eilisha Shiraini 6 лет назад 1
Хм, извини, я перевёл важную часть :) modsfabio 6 лет назад 0
Итак, кто-то пытался войти на ваш сервер, но не смог. Там действительно нет проблем. Если вас это сильно раздражает, переместите службу RDP на нестандартный порт. Der Hochstapler 6 лет назад 0
RDP уже заблокирован. Это что-то другое ... `NTLM` modsfabio 6 лет назад 0
NTLM - это просто метод аутентификации, не связанный с какой-либо конкретной службой прослушивания. Проверьте, какие другие порты открыты первыми. На самом деле, вы должны использовать политику блокировки по умолчанию и открывать только те порты, которые вам нужны. Bob 6 лет назад 0
Есть ли возможность узнать сервис, где не удается войти? В сообщении написано `AuthProcess: NtLmSsp` modsfabio 6 лет назад 0
Если это машина, подключенная к Интернету, то она должна быть защищена брандмауэром от всех портов, кроме тех, которые должны быть открыты. Вы, конечно, не должны иметь какой-либо случайной службы, принимающей любые попытки входа в систему, если она не является преднамеренной. Запретить доступ по умолчанию. Mokubai 6 лет назад 0
Кроме того, убедитесь, что в вашей ОС Windows установлены все последние обновления Windows, примененные для исправления любых известных уязвимостей системы безопасности, и, если возможно, в дополнение к тому, что для прослушивания доступны только порты для служб, к которым требуется доступ через Интернет, попробуйте заблокировать их. так что только определенные общедоступные IP-адреса, к которым вы, как вы знаете, должны обращаться, могут это сделать. Так что, если к ней, например, доступ только из Америки, вы можете настроить правила так, чтобы разрешать только диапазоны IP-адресов, зарегистрированных в Америке, я полагаю, или явно блокировать диапазоны от иностранных округов. Есть много способов заблокировать это. Pimp Juice IT 6 лет назад 0

1 ответ на вопрос

3
Blerg

Все, что открыто для Интернета, подвергнется постоянным атакам. Система Windows напрямую в интернете - ужасная идея, и вы должны вытащить ее как можно больше за брандмауэр. Если кому-то нужен доступ к этому серверу, установите программное обеспечение VPN и предоставьте ему доступ через него (также убедитесь, что пароли очень надежные и по возможности используйте ключи); и, если можете, отделите эту систему от вашей сети. VPN ограничит потенциальные векторы атак. Это может быть недостатком, поскольку это единственная точка отказа; но его можно укрепить, чтобы уменьшить вероятность взлома.

Возвращаясь к вашему вопросу, NTLM - это LAN Manager, и именно так Windows выполняет аутентификацию для разных вещей, ее нельзя отключить, не сломав много вещей. Наблюдение за множеством неудачных попыток входа в систему определенно может быть признаком атаки методом перебора. Вредоносные программы, такие как WannaCry, распространяются с помощью служб Windows непосредственно в Интернете (SMBv1 или Windows File Sharing). Заглушите эти дыры и позвольте всем, кто заявляет, что они не хотят, чтобы им причиняли неудобства шаг VPN, который они запрашивают для таких вредоносных программ, как WannaCry.

Действительно, «вымогатель», покоривший мир штурмом, не распространялся посредством рассылки рассылки по электронной почте. Напротив, наше исследование показывает, что этот противный червь был распространен с помощью операции, которая выслеживает уязвимую общедоступную сторону портов SMB, а затем использует предполагаемый эксплойт EternalBlue, пропущенный АНБ, чтобы войти в сеть, а затем (также предположительно АНБ), эксплойт DoublePulsar, чтобы установить постоянство и разрешить установку WannaCry Ransomware.

Как распространился вымогатель WannaCry? - Malwarebytes Labs | Malwarebytes Labs

Похожие вопросы