问题:想问个服务器的问题,win2008R2服务器遭遇攻击安全日志中出现大量的登录失败日志,看起来是暴力破解,登录名五花八门...而且每个账户试2次来规避组策略
但都是服务器上没有的用户,而且看不到来源IP
求教这是什么攻击,怎样有效的防范呢
- EventData SubjectUserSid S-1-5-18 SubjectUserName SubjectDomainName WORKGROUP SubjectLogonId 0x3e7 TargetUserSid S-1-0-0 TargetUserName administrators TargetDomainName Status 0xc000006d FailureReason %%2313 SubStatus 0xc0000064 LogonType 8 LogonProcessName Advapi AuthenticationPackageName Negotiate WorkstationName TransmittedServices - LmPackageName - KeyLength 0 ProcessId 0x46c ProcessName C:\Windows\System32\svchost.exe IpAddress - IpPort -
唔 情况我再说详细点:
1:有防火墙
2:远程登录端口已改
3:管理员帐号已改
4:这些攻击破解的帐号都不是服务器存在的帐号,他每个帐号登录2次,规避了组策略,虽然看起来暂时没有威胁性,但是感觉很担心
最后我想问的是这是那种攻击,能否知道来源IP,或者其他方法来阻止
开启防火墙,将管理用的端口设置IP白名单。然后,随便他扫描去吧。。。我是这么做的。
至于你想查出来这个IP,这很有可能是没有意义的事情,因为那个IP可能就是一个肉鸡,封了那个IP人家换一个肉鸡继续扫。
解决方案2: Windows Server可以用一个Windows IP-Ban Service开源项目,C#.
https://github.com/jjxtra/Windows-IP-Ban-Service
利用系统日志来做分析,按规则自动封IP.跟iptables很像.可以修改日志记录的策略,应该可以将攻击者的IP记录下来.或者用下服务器安全狗的国产免费软件,也有不少功能,最大的好处是够简单,其他不评价.
如果不是一定要暴露外网访问的,可以考虑使用VPN或者其他加密连接手段.记得Windows自带一个证书认证的连接方式.
Linux上可以配置ssh只允许使用密钥认证并禁止root用户登录,iptables开放22端口,守护进程fail2ban分析ssh日志自动调用iptables屏蔽攻击IP。
不知道Windows有没有类似的方案和工具。
解决方案4:你可以试试设一个蜜罐,开在3389端口上。
一般来说改了端口还有这种情况发生说明你的服务器遭到了端口扫描或者有内鬼(病毒/监守自盗)。
解决方案5:改3389端口
解决方案6:开启防火墙,修改端口,禁用管理员账号,或者修改管理员账号
解决方案7:开启windows防火墙,或修改管理员帐号名称