我需要一些帮助。
我在我的安全日志中看到很多尝试登录。
这是运行 Windows 2008 R2 的相当新的 GoDaddy VPS 服务器。
参加者有各种用户 ID,且会重复。
日志条目如下所示:
日志名称:安全来源:Microsoft-Windows-Security-Auditing 日期:2019 年 8 月 23 日下午 5:43:31 事件 ID:4625 任务类别:登录级别:信息关键字:审核失败用户:N/A 计算机:s132-148-82-95.secureserver.net 描述:帐户登录失败。
主题:安全 ID:NULL SID 帐户名称:- 帐户域:- 登录 ID:0x0
登录类型:3
登录失败的帐户:安全 ID:NULL SID 帐户名称:管理员帐户域:
故障信息:故障原因:未知用户名或密码错误。状态:0xc000006d 子状态:0xc000006a
进程信息:调用者进程 ID:0x0 调用者进程名称:-
网络信息:工作站名称:MSTSC 源网络地址:- 源端口:-
详细身份验证信息:登录过程:NtLmSsp 身份验证包:NTLM 传输服务:- 包名称(仅限 NTLM):- 密钥长度:0
登录请求失败时会生成此事件。该事件在尝试访问的计算机上生成。
正如您所见,它没有提供有效的 IP 地址。
微软表示,NTLM 不与任何端口绑定。
我尝试过在防火墙中封锁 TCP 1-79、81-3388、3390-20000 和 UDP 1-20000 端口。但这并不能阻止攻击尝试。
我通过 RDP 进入服务器,并且只允许从防火墙中的我的 IP 地址进行访问。
帮助。
我不知道下一步该尝试什么。
我是否应该尝试阻止他们,还是应该忽略他们?
加里
答案1
您是否 100% 确定 RDP 受到防火墙 IP 限制?我的第一印象是有人试图通过 RDP 登录您的服务器。您确实需要检查哪些端口是开放的且可公开访问。
一种方法是在服务器上启动 Web 浏览器,转到GRC网站, 点击服务菜单并选择盾牌升起!。在下一页上,单击继续按钮。在打开的页面上,找到ShieldsUp 服务您可以扫描服务器的端口。一定要使用常用端口和所有服务端口按钮。另外输入3389输入框并点击用户指定的自定义端口探测。这将检查 RDP 是否开放且可公开访问。
我还建议您在防火墙上阻止所有端口的所有传入连接,然后根据需要有选择地打开端口。确保在执行此操作时不要阻止自己访问自己的服务器!
希望遵循这些步骤可以终止未经授权的登录尝试。祝你好运!
答案2
使用 wail2ban。它类似于 fail2ban,但适用于 Windows https://github.com/glasnt/wail2ban这是该项目的链接。但似乎开发已经停止了。如果我找到任何比 fail2ban 更好的替代方案,我会更新我的答案。与此同时,一定要试试 wail2ban。它会在 5 次失败尝试后暂时阻止登录失败的 IP 地址 10 分钟(条件、禁止时间等可以更改)。不要忘记将自己的 IP 列入白名单,因为如果您错误地输入了 5 次密码,您将被禁止 10 分钟(wail2ban 中设置的默认禁止时间)