Login

登錄嘗試 - 域控制器上的事件查看器中的大量失敗審核 (Server 2003)

  • September 15, 2014

這是安全日誌下事件的樣子。有很多。有人試圖暴力破解網路嗎?該伺服器也用作終端服務伺服器。感謝任何建議/幫助,將不勝感激。

身份驗證票證請求:

User Name:      rosu
Supplied Realm Name:    my domain
User ID:            -
Service Name:       krbtgt/my domain
Service ID:     -
Ticket Options:     0x40810010
Result Code:        0x6
Ticket Encryption Type: -
Pre-Authentication Type:    -
Client Address:     127.0.0.1
Certificate Issuer Name:    
Certificate Serial Number:  
Certificate Thumbprint:

現在,如果您注意到使用者,對於像這樣的每個事件.. 使用者名會發生變化,如果我按日期排序,它們似乎都是按字母順序排列的嘗試。這裡的 IP 是這個 IP 的內部 IP,但對於大多數情況來說,它是一個外部 IP,例如 213.88.247.2 .. 事件的源埠似乎也發生了變化。再看一個:

登錄失敗:

Reason:     Unknown user name or bad password
User Name:  rout
Domain:     my Domain
Logon Type: 10
Logon Process:  User32  
Authentication Package: Negotiate
Workstation Name:   my Server Hostname
Caller User Name:   my Server Hostname$
Caller Domain:  my Domain
Caller Logon ID:    (0x0,0x3E7)
Caller Process ID:  7576
Transited Services: -
Source Network Address: 213.88.247.2
Source Port:    3030

唔?

是的,有人正試圖以暴力方式進入您的伺服器。他們要麼有辦法判斷不存在的使用者或密碼錯誤是否登錄失敗,要麼他們正在嘗試使用隨機使用者名和隨機密碼進行攻擊。

如果您確信您的所有使用者都有強密碼,您可以忽略這一點。如果只有少數源地址,您也可以阻止源地址,或者更改您的網路架構,以便您只能從 LAN 或 VPN 遠端訪問該伺服器。

我認為我們的終端伺服器對外開放,有人試圖進行字典攻擊。我將關閉從外到內的訪問——因為這早就應該關閉了。

引用自:https://serverfault.com/questions/628693