Security

Windows 篩選平台篩選器已更改 - 文件和列印機共享

  • December 13, 2013

我的 Windows 2008 R2 伺服器收到大量登錄嘗試。

我猜有人在進行蠻力攻擊。

有趣的是,我們的 MySQL 配置文件昨晚被刪除了,所以他們一定是不知何故進入了。但與此同時,我的事件日誌完全包含這些消息:

A Windows Filtering Platform filter has been changed.

Subject:
   Security ID:        LOCAL SERVICE
   Account Name:       NT AUTHORITY\LOCAL SERVICE

Process Information:
   Process ID: 1184

Provider Information:
   ID:     {decc16ca-3f33-4346-be1e-8fb4ae0f3d62}
   Name:       Microsoft Corporation

Change Information:
   Change Type:    Delete

Filter Information:
   ID:     {3798315c-c633-46ee-8421-89dab23673e9}
   Name:       File and Printer Sharing (Spooler Service - RPC-EPMAP)
   Type:       Not persistent
   Run-Time ID:    3444308

Layer Information:
   ID:     {e1cd9fe7-f4b5-4273-96c0-592e487b8650}
   Name:       ALE Receive/Accept v4 Layer
   Run-Time ID:    44

Callout Information:
   ID:     {00000000-0000-0000-0000-000000000000}
   Name:       -

Additional Information:
   Weight: 10378404878664860156    
   Conditions: 
   Condition ID:   {af043a0a-b34d-4f86-979c-c90371af6e66}
   Match value:    Equal to
   Condition value:    
O:SYG:SYD:(A;;CCRC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080)


   Condition ID:   {0c1ba1af-5765-453f-af22-a8f791ac775b}
   Match value:    Equal to
   Condition value:    0x0087

   Condition ID:   {46ea1551-2255-492b-8019-aabeee349f40}
   Match value:    Equal to
   Condition value:    0x00000003

   Condition ID:   {ab3033c9-c0e3-4759-937d-5758c65d4ae3}
   Match value:    Equal to
   Condition value:    0x00000003

   Condition ID:   {3971ef2b-623e-4f9a-8cb1-6e79b806b9a7}
   Match value:    Equal to
   Condition value:    0x06

   Filter Action:  Permit

不幸的是,我的託管公司反應遲鈍,也不是很有幫助。他們唯一的反應是更改我的密碼……有人知道他們的意思和他們來自哪裡嗎?我猜這是Windows防火牆規則。但這是正常的還是意味著什麼?

你的問題中有很多不同的事情。我將分別解決它們。

我的 Windows Server 2008 R2 伺服器收到大量登錄嘗試。我猜有人在進行蠻力攻擊。

作為一般建議:不要猜測。知道。電腦系統極其複雜。一個好的系統管理員應該從辨識所有症狀開始,測試可重複性,收集證據,然後對潛在問題做出合理假設。只有在你非常幸運的情況下,猜測和檢查方法才會起作用。

您應該查看您的事件日誌並將登錄嘗試與您的上游提供商的 IDS 資訊相關聯。也許是暴力登錄攻擊,也許是服務帳戶更改了密碼,也許是應用程序不再具有適當的權限?這可能是很多事情。

最後也是最重要的 - 為什麼您的伺服器完全暴露在 Big Bad Internet 中?你真的應該把它放在防火牆或 VPN 後面。

有趣的是,我們的 MySQL 配置文件昨晚被刪除了,所以他們一定是不知何故進入了。

這有點好笑,但你確定這是入侵者嗎?也許您不小心刪除了它?再次,不要猜測。知道。您是否正在審核文件訪問?所有權變更?您至少應該能夠更好地了解您的配置文件突然更改或失去的內容。

Windows 過濾平台

查看 MSDN 以獲取有關Windows 過濾平台的資訊:

WFP 提供 API,以便您可以參與在 TCP/IP 協議堆棧的多個層中發生的過濾決策。WFP 還集成並支持下一代防火牆功能,例如基於應用程序使用 Windows 套接字 API 的經過身份驗證的通信和動態防火牆配置。此功能也稱為基於應用程序的策略。

我相信您發布的範例是刪除文件和列印機共享的 PERMIT 過濾器(後台處理程序服務 - RPC-EPMAP)。如果你多讀一點,你應該能夠證實這一點。我不認為此特定事件與您可能的安全問題有關(這並不意味著其他 WFP 事件不是!)。

你的伺服器被入侵了嗎?

在您敲響警報之前,請進行一些調查,使用您的支持選項,並確認您的伺服器確實已被入侵。閱讀有關該主題的規範問題以幫助您完成整個過程:如何處理受損的伺服器?. 祝你好運!

引用自:https://serverfault.com/questions/560732