Задать вопрос
LifeAct
@LifeAct
Создаем и раскручиваем, не ставим на конвейер

Как узнать что/что пытается авторизироваться?

Всем привет! Вин сервер 2012, используется как IIS вебсервер, поднято ФТП, СУБД MS SQl. Сегодня заметил в журнале виндовс (безопасность) вот такие записи:

Учетной записи не удалось выполнить вход в систему.

Субъект:
	ИД безопасности:		NULL SID
	Имя учетной записи:		-
	Домен учетной записи:		-
	Код входа:		0x0

Тип входа:			3

Учетная запись, которой не удалось выполнить вход:
	ИД безопасности:		NULL SID
	Имя учетной записи:		USER2
	Домен учетной записи:		

Сведения об ошибке:
	Причина ошибки:		Неизвестное имя пользователя или неверный пароль.
	Состояние:			0xC000006D
	Подсостояние:		0xC0000064

Сведения о процессе:
	Идентификатор процесса вызывающей стороны:	0x0
	Имя процесса вызывающей стороны:	-

Сведения о сети:
	Имя рабочей станции:	-
	Сетевой адрес источника:	-
	Порт источника:		-

Сведения о проверке подлинности:
	Процесс входа:		NtLmSsp 
	Пакет проверки подлинности:	NTLM
	Промежуточные службы:	-
	Имя пакета (только NTLM):	-
	Длина ключа:		0


и эти события сыпятся каждые несколько секунд, меняется только: Имя учетной записи: USER2, sklad, Admin и другие...

Что это такое? На брут похоже... Причем началось 3 дня назад.

UP------РЕШЕНИЕ

Всем спасибо. Брутили RDP, в штатном фаерволе в правилах касаемых рдп и фтп в вкладке "область" указал свой IP.
После этого все прекратилось.

Поставил еще эту единственную в своем роде бесплатную программку:

Windows-IP-Ban-Service https://github.com/jjxtra/Windows-IP-Ban-Service

IPBan Monitors failed security audit in Windows Event Viewer and bans ip addresses using netsh. Wide range of customization and unlimited ip address ban count

Features include:
– Unlimited number of ip addresses to ban
– Duration to ban ip address
– Number of failed login attempts before ban
– Whitelist of comma separated ip addresses or regex to never ban
– Blacklist of comma separated ip addresses or regex to always ban
– Custom prefix to windows firewall rules
– Custom keywords, XPath and Regex to parse event viewer logs for failed login attempts
– Refreshes config so no need to restart the service when you change something
– Highly configurable, ban anything that comes through Windows Event Viewer
– A GREAT and FREE (if you install it yourself) alternative to RdpGuard or Syspeace
– Contains configuration to block Remote Desktop attempts, Microsoft SQL Server login attempts and MySQL Server login attempts by default
  • Вопрос задан
  • 14928 просмотров
Подписаться 3 Средний 7 комментариев
Решения вопроса 1
vesper-bot
@vesper-bot
Любитель файрволлов
Это брут, скорее всего на RDP - проверьте, не открыт ли он в интернет. А откуда - советую мониторить подключения wireshark'ом какое-то время, заодно понятнее станет, куда ломятся.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы