我的 Windows 根服务器上出现多次登录失败的情况。
我已经阻止了 RDP 端口,但在事件查看器中我仍然看到许多登录失败。它们看起来像这样:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: Administrator
Kontodomäne: JSJFIDC
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus:: 0xc000006a
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: JSJFIDC
Quellnetzwerkadresse: 222.186.21.162
Quellport: 3074
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert.
Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an,
von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst
wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder
"Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten
Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an,
für die die Anmeldung angefordert wurde.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.
Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen
Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte
Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an
der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete
Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels
an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
问题是它看起来像是暴力攻击。源 IP(本例中为 222.186.21.162)每次都不同,我几乎每秒都会登录失败。
这部分很重要:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
......
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
它说
Authentication Process: NtLmSsp
Auth Packet: NTLM
......
Problem: Unknown username or password
所以我猜这与 NTLM 有关。
我需要 NTLM 吗?或者有可能阻止它吗?
答案1
任何对互联网开放的东西都会不断受到攻击。将 Windows 系统直接放在互联网上是一个糟糕的想法,您应该尽可能将其置于防火墙后面。如果有人需要访问该服务器,请安装一些 VPN 软件并授予他们访问权限(同时确保密码非常强,并在可能的情况下使用密钥);如果可以,请将该系统也与您的网络隔离开来。VPN 将限制潜在的攻击媒介。由于它是单点故障,因此它可能是一个缺陷;但可以对其进行强化,以帮助降低被攻破的可能性。
回到你的问题,NTLM 是 LAN 管理器,它是 Windows 对各种事物进行身份验证的方式,如果不破坏很多东西,它就无法被禁用。不断看到一堆失败的登录尝试肯定是暴力攻击的迹象,正如你所说。像 WannaCry 这样的恶意软件正在通过直接在互联网上使用 Windows 服务进行传播(SMBv1 又名 Windows 文件共享)。堵住这些漏洞,让任何声称不想被 VPN 打扰的人知道他们正在要求使用像 WannaCry 这样的恶意软件。
事实上,席卷全球的“勒索蠕虫”并非通过电子邮件恶意垃圾邮件活动传播。相反,我们的研究表明,这种恶意蠕虫是通过一项行动传播的,该行动会搜索易受攻击的面向公众的 SMB 端口,然后使用据称由 NSA 泄露的 EternalBlue 漏洞进入网络,然后使用(同样由 NSA 泄露的)DoublePulsar 漏洞建立持久性并允许安装 WannaCry 勒索软件。
WannaCry 勒索蠕虫是如何传播的? - Malwarebytes Labs | Malwarebytes Labs