Тысячи неудачных попыток входа [код 4625]

Я получаю много неудачных попыток входа на сервер.

Я уже заблокировал порт RDP, но в окне просмотра событий я все еще вижу много неудачных входов. Они выглядят так:

Fehler beim Anmelden eines Kontos.

Antragsteller:
    Sicherheits-ID:     NULL SID
    Kontoname:      -
    Kontodomäne:        -
    Anmelde-ID:     0x0

Anmeldetyp:         3

Konto, für das die Anmeldung fehlgeschlagen ist:
    Sicherheits-ID:     NULL SID
    Kontoname:          Administrator
    Kontodomäne:        JSJFIDC

Fehlerinformationen:
    Fehlerursache:      Unbekannter Benutzername oder ungültiges Kennwort.
    Status:             0xc000006d
    Unterstatus::       0xc000006a

Prozessinformationen:
    Aufrufprozess-ID:   0x0
    Aufrufprozessname:  -

Netzwerkinformationen:
    Arbeitsstationsname:    JSJFIDC
    Quellnetzwerkadresse:   222.186.21.162
    Quellport:      3074

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:             NtLmSsp 
    Authentifizierungspaket:    NTLM
    Übertragene Dienste:        -
    Paketname (nur NTLM):       -
    Schlüssellänge:             0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert.
Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an,
von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst
wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder
"Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten
Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an,
für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.
Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen
Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte
Informationen zu dieser speziellen Anmeldeanforderung.
    - Die übertragenen Dienste geben an, welche Zwischendienste an
      der Anmeldeanforderung beteiligt waren.
    - Der Paketname gibt das in den NTLM-Protokollen verwendete
      Unterprotokoll an.
    - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels
      an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

проблема выглядит как атака грубой силы.
Исходный IP (222.186.21.162 в данном случае) каждый раз разные и я вам не логины почти каждый второй.

важная эта часть:

 Anmeldeprozess:                NtLmSsp 
 Authentifizierungspaket:       NTLM
 ......
 Fehlerursache:      Unbekannter Benutzername oder ungültiges Kennwort.

Он говорит:

 Authentication Process:        NtLmSsp 
 Auth Packet:                   NTLM
 ......
 Problem:                       Unknown username or password

Так что я думаю в нем есть что-то todo с NTLM..

нужен ли NTLM? Или есть возможность его заблокировать?

12
задан modsfabio
21.01.2023 10:11 Количество просмотров материала 2628
Распечатать страницу

1 ответ

все что работает с интернетом будет вам постоянно атаковали. Система Windows непосредственно в интернете-ужасная идея, и вы должны вытащить как можно больше ее за брандмауэр. Если кому-то нужен доступ к этому серверу, установите некоторое программное обеспечение VPN и предоставьте им доступ через это (также убедитесь, что пароли очень сильные и используют ключи, если это возможно); и если вы можете, отделите эту систему от своей сети. VPN будет ограничивать возможные направления атаки. Это может быть недостатком, так как это единственная точка отказа; но она может быть закалена, чтобы помочь уменьшить вероятность нарушения.

возвращаясь к вашему вопросу, NTLM-это менеджер локальной сети, и именно так Windows выполняет аутентификацию для различных вещей, ее нельзя отключить, не нарушая много вещей. Видя кучу неудачных попыток входа в систему постоянно, безусловно, может быть признаком атаки грубой силы, как вы заявили. Вредоносных программ, как WannaCry будет распространяется службы Windows непосредственно в интернете, (SMBv1 собой.к.файл Windows обмену). Подключите эти отверстия и пусть кто-то, что утверждает, что они не хотят быть неудобно с шагом VPN, что они просят вредоносных программ, таких как WannaCry.

действительно, ‘ransomworm’, которая взяла мир штурмом не был распространен через кампании по электронной почте malspam. Скорее, наши исследования показывают, что этот противный червь был распространен через операцию, которая охотится на уязвимые общественные лица SMB порты, а затем использует предполагаемый АНБ утечка EternalBlue эксплойт, чтобы получить в сети, а затем (также АНБ предполагаемый) DoublePulsar эксплойт для установления персистентности и позволяют для установки WannaCry вымогателей.

как WannaCry ransomworm выкладывать? - Программа Malwarebytes Лаборатории | Программа Malwarebytes Лабораторий

3
отвечен Blerg 2023-01-22 17:59

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх