Login
登錄嘗試 - 域控制器上的事件查看器中的大量失敗審核 (Server 2003)
這是安全日誌下事件的樣子。有很多。有人試圖暴力破解網路嗎?該伺服器也用作終端服務伺服器。感謝任何建議/幫助,將不勝感激。
身份驗證票證請求:
User Name: rosu Supplied Realm Name: my domain User ID: - Service Name: krbtgt/my domain Service ID: - Ticket Options: 0x40810010 Result Code: 0x6 Ticket Encryption Type: - Pre-Authentication Type: - Client Address: 127.0.0.1 Certificate Issuer Name: Certificate Serial Number: Certificate Thumbprint:
現在,如果您注意到使用者,對於像這樣的每個事件.. 使用者名會發生變化,如果我按日期排序,它們似乎都是按字母順序排列的嘗試。這裡的 IP 是這個 IP 的內部 IP,但對於大多數情況來說,它是一個外部 IP,例如 213.88.247.2 .. 事件的源埠似乎也發生了變化。再看一個:
登錄失敗:
Reason: Unknown user name or bad password User Name: rout Domain: my Domain Logon Type: 10 Logon Process: User32 Authentication Package: Negotiate Workstation Name: my Server Hostname Caller User Name: my Server Hostname$ Caller Domain: my Domain Caller Logon ID: (0x0,0x3E7) Caller Process ID: 7576 Transited Services: - Source Network Address: 213.88.247.2 Source Port: 3030
唔?
是的,有人正試圖以暴力方式進入您的伺服器。他們要麼有辦法判斷不存在的使用者或密碼錯誤是否登錄失敗,要麼他們正在嘗試使用隨機使用者名和隨機密碼進行攻擊。
如果您確信您的所有使用者都有強密碼,您可以忽略這一點。如果只有少數源地址,您也可以阻止源地址,或者更改您的網路架構,以便您只能從 LAN 或 VPN 遠端訪問該伺服器。
我認為我們的終端伺服器對外開放,有人試圖進行字典攻擊。我將關閉從外到內的訪問——因為這早就應該關閉了。