Windows 篩選平台篩選器已更改 - 文件和列印機共享
我的 Windows 2008 R2 伺服器收到大量登錄嘗試。
我猜有人在進行蠻力攻擊。
有趣的是,我們的 MySQL 配置文件昨晚被刪除了,所以他們一定是不知何故進入了。但與此同時,我的事件日誌完全包含這些消息:
A Windows Filtering Platform filter has been changed. Subject: Security ID: LOCAL SERVICE Account Name: NT AUTHORITY\LOCAL SERVICE Process Information: Process ID: 1184 Provider Information: ID: {decc16ca-3f33-4346-be1e-8fb4ae0f3d62} Name: Microsoft Corporation Change Information: Change Type: Delete Filter Information: ID: {3798315c-c633-46ee-8421-89dab23673e9} Name: File and Printer Sharing (Spooler Service - RPC-EPMAP) Type: Not persistent Run-Time ID: 3444308 Layer Information: ID: {e1cd9fe7-f4b5-4273-96c0-592e487b8650} Name: ALE Receive/Accept v4 Layer Run-Time ID: 44 Callout Information: ID: {00000000-0000-0000-0000-000000000000} Name: - Additional Information: Weight: 10378404878664860156 Conditions: Condition ID: {af043a0a-b34d-4f86-979c-c90371af6e66} Match value: Equal to Condition value: O:SYG:SYD:(A;;CCRC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080) Condition ID: {0c1ba1af-5765-453f-af22-a8f791ac775b} Match value: Equal to Condition value: 0x0087 Condition ID: {46ea1551-2255-492b-8019-aabeee349f40} Match value: Equal to Condition value: 0x00000003 Condition ID: {ab3033c9-c0e3-4759-937d-5758c65d4ae3} Match value: Equal to Condition value: 0x00000003 Condition ID: {3971ef2b-623e-4f9a-8cb1-6e79b806b9a7} Match value: Equal to Condition value: 0x06 Filter Action: Permit
不幸的是,我的託管公司反應遲鈍,也不是很有幫助。他們唯一的反應是更改我的密碼……有人知道他們的意思和他們來自哪裡嗎?我猜這是Windows防火牆規則。但這是正常的還是意味著什麼?
你的問題中有很多不同的事情。我將分別解決它們。
我的 Windows Server 2008 R2 伺服器收到大量登錄嘗試。我猜有人在進行蠻力攻擊。
作為一般建議:不要猜測。知道。電腦系統極其複雜。一個好的系統管理員應該從辨識所有症狀開始,測試可重複性,收集證據,然後對潛在問題做出合理假設。只有在你非常幸運的情況下,猜測和檢查方法才會起作用。
您應該查看您的事件日誌並將登錄嘗試與您的上游提供商的 IDS 資訊相關聯。也許是暴力登錄攻擊,也許是服務帳戶更改了密碼,也許是應用程序不再具有適當的權限?這可能是很多事情。
最後也是最重要的 - 為什麼您的伺服器完全暴露在 Big Bad Internet 中?你真的應該把它放在防火牆或 VPN 後面。
有趣的是,我們的 MySQL 配置文件昨晚被刪除了,所以他們一定是不知何故進入了。
這有點好笑,但你確定這是入侵者嗎?也許您不小心刪除了它?再次,不要猜測。知道。您是否正在審核文件訪問?所有權變更?您至少應該能夠更好地了解您的配置文件突然更改或失去的內容。
Windows 過濾平台
查看 MSDN 以獲取有關Windows 過濾平台的資訊:
WFP 提供 API,以便您可以參與在 TCP/IP 協議堆棧的多個層中發生的過濾決策。WFP 還集成並支持下一代防火牆功能,例如基於應用程序使用 Windows 套接字 API 的經過身份驗證的通信和動態防火牆配置。此功能也稱為基於應用程序的策略。
我相信您發布的範例是刪除文件和列印機共享的 PERMIT 過濾器(後台處理程序服務 - RPC-EPMAP)。如果你多讀一點,你應該能夠證實這一點。我不認為此特定事件與您可能的安全問題有關(這並不意味著其他 WFP 事件不是!)。
你的伺服器被入侵了嗎?
在您敲響警報之前,請進行一些調查,使用您的支持選項,並確認您的伺服器確實已被入侵。閱讀有關該主題的規範問題以幫助您完成整個過程:如何處理受損的伺服器?. 祝你好運!