我们的专用服务器遇到了问题,它经常挂起(有时在电源循环后几小时后就会挂起)。
我查看了事件查看器,在系统下,记录了数千个事件。最主要的事件是 ID:1012“来自客户端名称 a 的远程会话超出了允许的最大登录失败次数。会话被强制终止。”
我不太熟悉所有的术语,但这是否意味着黑客已经尝试登录?
此事件会持续数小时每 7 秒出现一次,然后有一段时间会停止,但几个小时后又会再次开始。
另一个主要事件是 ID:100“服务器无法登录 Windows NT 帐户‘ADMINISTRATOR’,原因是出现以下错误:登录失败:用户名未知或密码错误”
我看到它们在几秒钟内被列出。
这又是一个黑客问题吗?
这些事件是否会使用我服务器的内存,导致服务器最终无法运行,从而挂起?
顺便说一句,我们正在运行 Windows 2003。
*请记住,我对所有术语并不太熟悉,因此如果您能用外行人能理解的语言解释,我将不胜感激。
答案1
听起来远程桌面暴露在互联网上,并且您看到了登录尝试失败的结果。
我建议找一个有网络经验的人来检查一下你的设置。如果你的服务器暴露在互联网上,没有启用防火墙,也没有外围防火墙,那么这将是一场灾难。
答案2
如果不知道服务器的规格,就很难确定,但过多的连接尝试或会话可能会压垮服务器,是的。听起来确实有人在对您的服务器进行暴力攻击(显然是用脚本)。
我建议:
1) 将管理员帐户的用户名更改为非默认值。(例如,您可以使用 Linux 的发明者“LinusTorvalds”作为本地管理员用户名。)选择一些不寻常的用户名基本上可以消除攻击者猜测进入管理员访问权限的可能性。
2) 找出发出这些请求的 IP(应该与安全故障位于同一日志条目中)并阻止它们。我忘记了如何使用 Server 2003/XP Windows 防火墙执行此操作,但请查看 Technet 以获取指南。(http://technet.microsoft.com/en-us/library/cc778148%28v=ws.10%29.aspx)这有助于减少服务器负载并防止服务器崩溃。
3) 在服务器前安装 [硬件] 防火墙,并找一个知道如何正确配置防火墙的人。您已经看到有人每 7 秒尝试通过 RDP 访问您的服务器,而通过更常见的面向 Web 的协议(http、ftp、ssh 等)进行的攻击次数可能要高得多。如果您在其他协议上容易受到攻击,那么保护 RDP 对您没有任何好处。