Windows Server 2003 W3SVC 失败,暴力攻击可能是原因

Windows Server 2003 W3SVC 失败,暴力攻击可能是原因

本周我的网站无缘无故消失了两次。我登录我的服务器(Windows Server 2003 Service Pack 2)并重新启动 World Web Publishing 服务,网站仍然无法访问。我尝试重新启动 DNS 和 Cold Fusion 等其他一些服务,但网站仍然无法访问。

最后我重新启动了服务器,网站又重新出现了。

昨晚网站又瘫痪了。这次我登录网站查看了事件日志。

可怕的东西!

以下有数百个:

Event Type: Information
Event Source:   TermService
Event Category: None
Event ID:   1012
Date:       30/01/2012
Time:       15:25:12
User:       N/A
Computer:   SERVER51338
Description:
Remote session from client name a exceeded the maximum allowed failed logon attempts. The session was forcibly terminated.

频率大约为每分钟 3-5 次。在我的网站崩溃时,出现了以下情况:

Event Type: Information
Event Source:   W3SVC
Event Category: None
Event ID:   1074
Date:       30/01/2012
Time:       19:36:14
User:       N/A
Computer:   SERVER51338
Description:
A worker process with process id of '6308' serving application pool 'DefaultAppPool' has requested a recycle because the worker process reached its allowed processing time limit.  

这显然是导致网络服务瘫痪的原因。

其中有以下几个:

Event Type: Error
Event Source:   TermDD
Event Category: None
Event ID:   50
Date:       30/01/2012
Time:       20:32:51
User:       N/A
Computer:   SERVER51338
Description:
The RDP protocol component "DATA ENCRYPTION" detected an error in the protocol stream and has disconnected the client.

Data:
0000: 00 00 04 00 02 00 52 00   ......R.
0008: 00 00 00 00 32 00 0a c0   ....2..À
0010: 00 00 00 00 32 00 0a c0   ....2..À
0018: 00 00 00 00 00 00 00 00   ........
0020: 00 00 00 00 00 00 00 00   ........
0028: 92 01 00 00               ...    

不再存在第一种错误类型。

我担心有人试图强行进入我的服务器。我已禁用除 IIS 帐户和管理员(我已重命名)之外的所有帐户。我还将密码更改为更安全的密码。

我不知道为什么这次暴力攻击会导致 Web 服务停止,也不知道为什么重新启动服务不能解决问题。

我应该怎么做才能确保我的服务器是安全的,我应该怎么做才能确保网络服务器不再瘫痪?

谢谢。

答案1

也许吧,但要将它们视为症状并确保理论合适。

回收事件只是一条“应用程序池已达到其 1740 分钟限制”消息。这意味着您的网站已运行了 29 小时(假设它具有默认回收设置),然后回收时间限制开始生效。

默认情况下,回收会在旧进程消失之前启动新进程。这意味着服务中断的可能性很小(取决于新进程初始化所需的时间),但并非不存在。

但真的很难将其与任何形式的 RDP 暴力破解联系起来,不是吗?除了事件关联之外还有什么吗?

答案2

增加网站上的 IIS 日志记录。您应该能够获取一些信息。

答案3

我要做的第一件事是更改默认 RDP 端口,不要使用默认的 3389 端口。如果服务器直接或通过端口转发暴露在互联网上,您永远都不应该使用默认 RDP 端口。这只会自找麻烦。更改端口不会让您更安全 - 至少在技术上 - 但它可以阻止许多蠕虫/扫描仪等检测到它。

检查安全事件日志(假设它未被篡改),并查看是否有任何通过 RDP 成功登录的事件。这些将是事件 528,登录类型为 10。如果有除您之外的其他用户成功登录,那么您必须假设服务器已被入侵。入侵的目的可能是在您的 Web 服务器上安装恶意软件。如果它被入侵,您要么需要重新安装,要么进行非常仔细的评估以查找任何类型的 root 工具包、木马等。

我还会评估 IIS 日志,查看攻击来自何处,并阻止该 IP 进入防火墙(假设您有防火墙)。有些设备会始终阻止可疑 IP 范围,这显然是一种更好的方法。

最后,我建议安装一个事件日志监控产品。我们创建了一个名为事件哨兵,它可以实时监控事件日志。我们有一个免费的社区版本,名为 EventSentry Light,它至少可以在您发现的事件发生时通过电子邮件提醒您。这样,您可以采取自动措施,也可以立即采取行动。

祝你好运。

相关内容