我在 Rackspace Cloud 上托管了一个专用服务器,今天早上,当我随意检查安全事件日志时,我看到一系列令人不安的成功登录事件。似乎随机 IP 以某种方式成功“登录”到我的服务器。这怎么可能?我有一个非常强的管理员密码。我是不是反应过度了,还是看起来有人以某种方式访问了我的服务器?一小时内大约有 50 个这样的事件,来自不同的 IP 地址。
帐户已成功登录。
主题:
安全 ID:NULL SID
帐户名称: -
帐户域:-
登录 ID:0x0
登录类型:3
新登录:
安全 ID:匿名登录
账户名称:匿名登录
帐户域:NT AUTHORITY
登录 ID:0x20a394
登录 GUID: {00000000-0000-0000-0000-000000000000}
处理信息:
进程 ID:0x0
进程名称:-
网络信息:
工作站名称:ATBDMAIN2
源网络地址:76.164.41.214
源端口:36183
详细认证信息:
登录过程: NtLmSsp
身份验证包:NTLM
过境服务:-
程序包名称(仅限 NTLM):NTLM V1
密钥长度:128
那么是否有可能有人在进行端口扫描或寻找漏洞,否则为什么世界各地的一些随机 IP 想要了解我的服务器?
答案1
“匿名”登录早已成为 Windows 域的一部分 - 简而言之,它是允许其他计算机在网上邻居中找到您的计算机、找到您正在共享的文件共享或打印机等的权限。
这也是为什么 Windows 管理员说永远不要向“Everyone”组授予共享权限(除非你知道自己在做什么),因为“Everyone”也包括“no one”——呃,ANONYMOUS。请放心,除非你
无论如何,在这种情况下,你可能想要锁定和注册表设置或者更好的是,本地或组策略。查看您的政策编辑器计算机配置\Windows 设置\安全设置\本地策略\安全选项对于以下选项:
- 网络访问: 允许匿名 SID/名称转换
- 网络访问: 不允许匿名枚举 SAM 帐户
- 网络访问:不允许匿名枚举 SAM 帐户和共享
- 网络访问: 让所有人的权限应用于匿名用户
- 网络访问:可以匿名访问的命名管道
- 网络访问:可以匿名访问的共享
答案2
尝试使用 NetBT(TCP/IP 上的 NetBIOS)访问您的服务器,\\your-dedi-ip在 Windows 资源管理器地址栏中键入,您应该会在 dedi 的安全事件中看到相同的日志(即使您没有输入任何凭据)。如果是,则意味着您的服务器的 NetBT 端口必须打开。如果您不使用它,您应该在防火墙上关闭它们(不允许通过 TCP 端口 135-139 进行入站或出站流量)。
“从最简单的角度看,LAN 上的 NetBIOS 可能只是一种必要之恶。但是,WAN 或 Internet 上的 NetBIOS 却存在巨大的安全风险。各种信息(例如您的域、工作组和系统名称以及帐户信息)都可以通过 NetBIOS 获得。确保 NetBIOS 永远不会离开您的网络确实符合您的最佳利益。”>>