伺服器掛起 - 伺服器事件查看器
我們的專用伺服器遇到問題,它經常掛起(有時在電源循環後幾個小時後在空間中)。
我查看了事件查看器和系統下,記錄了數千個事件。最主要的事件是 ID:1012 “來自客戶端名稱 a 的遠端會話超出了允許的最大失敗登錄嘗試。會話被強制終止。”
我對所有術語都不太熟悉,但這是否意味著黑客嘗試登錄?
此事件每 7 秒彈出幾個小時,然後有一段時間停止,但再過幾個小時又開始。
另一個主要事件是 ID:100 “由於以下錯誤,伺服器無法登錄 Windows NT 帳戶‘ADMINISTRATOR’:登錄失敗:未知使用者名或密碼錯誤”
我看到它們排在後面幾秒鐘。
這是另一個黑客問題嗎?
這些事件是否使用我的伺服器 ram,然後最終伺服器無法執行,使其掛起?
順便說一句,我們正在執行 Windows 2003。
*請記住,我對所有術語都不太熟悉,所以如果您能用外行的術語解釋,我將不勝感激。
聽起來遠端桌面已暴露在 Internet 上,您會看到登錄嘗試失敗的結果。
我建議讓有網路經驗的人來看看你的設置。如果您的伺服器在沒有啟用防火牆且沒有外圍防火牆的情況下暴露在 Internet 上,那麼這就是災難的根源。
在不了解伺服器規格的情況下很難確定,但是過多的連接嘗試或會話可能會破壞伺服器,是的。聽起來確實有人正在對您的伺服器進行暴力攻擊(顯然是使用腳本)。
我建議:
- 將管理員帳戶的使用者名更改為預設值以外的其他名稱。(例如,您可以使用 Linux 的發明者“LinusTorvalds”作為您的本地管理員使用者名。)為使用者名選擇一些不尋常的內容將基本上消除攻擊者能夠猜測他們進入管理員訪問權限的可能性。
2)找出發出這些請求的IP(應該與安全故障在同一個日誌條目中)並阻止它們。我忘記瞭如何使用 Server 2003/XP Windows 防火牆執行此操作,但請查看 Technet 獲取指南。( http://technet.microsoft.com/en-us/library/cc778148%28v=ws.10%29.aspx ) 這應該有助於減少伺服器負載並防止伺服器崩潰。
- 得到一個
$$ hardware $$伺服器前面的防火牆,以及知道如何正確配置它的人。您已經看到有人試圖每 7 秒通過 RDP 訪問您的伺服器,而針對更常見的面向 Web 的協議(http、ftp、ssh 等)的攻擊次數可能要高得多. 如果您在其他協議上易受攻擊,保護 RDP 對您沒有任何好處。