从昨天开始,名为 KHAOSSERVER 的工作站产生了超过 8GB 的流量;安全事件日志中有如下记录:
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: agent
Account Domain: KHAOSSERVER
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: KHAOSSERVER
Source Network Address: - ????????
Source Port: -
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
如果有 KHAOSSERVER 的 IP 地址,则
可以配置入站阻止规则。
无论工作站名称是否会改变, 当工作站 已知但 IP 地址未知 时,
如何为 Windows 2008 R2 防火墙配置入站阻止规则?
请注意:
即使是现在,KHAOSSERVER 仍在攻击我的服务器。
答案1
我想发表评论,但我不能。
与能够了解网络的人交谈或使用 wireshark 之类的工具运行数据包捕获来捕获 IP。