Как узнать что/что пытается авторизироваться?

Question

[Дмитрий Филандор]

Всем привет! Вин сервер 2012, используется как IIS вебсервер, поднято ФТП, СУБД MS SQl. Сегодня заметил в журнале виндовс (безопасность) вот такие записи:

Учетной записи не удалось выполнить вход в систему.

Субъект:
	ИД безопасности:		NULL SID
	Имя учетной записи:		-
	Домен учетной записи:		-
	Код входа:		0x0

Тип входа:			3

Учетная запись, которой не удалось выполнить вход:
	ИД безопасности:		NULL SID
	Имя учетной записи:		USER2
	Домен учетной записи:		

Сведения об ошибке:
	Причина ошибки:		Неизвестное имя пользователя или неверный пароль.
	Состояние:			0xC000006D
	Подсостояние:		0xC0000064

Сведения о процессе:
	Идентификатор процесса вызывающей стороны:	0x0
	Имя процесса вызывающей стороны:	-

Сведения о сети:
	Имя рабочей станции:	-
	Сетевой адрес источника:	-
	Порт источника:		-

Сведения о проверке подлинности:
	Процесс входа:		NtLmSsp 
	Пакет проверки подлинности:	NTLM
	Промежуточные службы:	-
	Имя пакета (только NTLM):	-
	Длина ключа:		0

и эти события сыпятся каждые несколько секунд, меняется только: Имя учетной записи: USER2, sklad, Admin и другие...

Что это такое? На брут похоже... Причем началось 3 дня назад.

UP------РЕШЕНИЕ

Всем спасибо. Брутили RDP, в штатном фаерволе в правилах касаемых рдп и фтп в вкладке "область" указал свой IP.
После этого все прекратилось.

Поставил еще эту единственную в своем роде бесплатную программку:

Windows-IP-Ban-Service https://github.com/jjxtra/Windows-IP-Ban-Service

IPBan Monitors failed security audit in Windows Event Viewer and bans ip addresses using netsh. Wide range of customization and unlimited ip address ban count

Features include:
– Unlimited number of ip addresses to ban
– Duration to ban ip address
– Number of failed login attempts before ban
– Whitelist of comma separated ip addresses or regex to never ban
– Blacklist of comma separated ip addresses or regex to always ban
– Custom prefix to windows firewall rules
– Custom keywords, XPath and Regex to parse event viewer logs for failed login attempts
– Refreshes config so no need to restart the service when you change something
– Highly configurable, ban anything that comes through Windows Event Viewer
– A GREAT and FREE (if you install it yourself) alternative to RdpGuard or Syspeace
– Contains configuration to block Remote Desktop attempts, Microsoft SQL Server login attempts and MySQL Server login attempts by default

Comments

[awesomer]

Небезопаснейшее FTP кто то еще использует в 21 веке?

[Константин]

Полагаю, это ваш FTP на стандартном порту брутят в полный рост.

[Сергей]

3 - сетевая попытка входа, смотрите в сторону фаеровола, надеюсь Ваш чудесный Winсервер не стоит голой попой в интернете?

[Дмитрий Филандор]

Сергей, смотрю, там все правила по умолчанию. Остановил службу фтп, попытки входа не прекратились. В разрещающем правиле фаервола для фтп переключил - блокировать входящие соединения. Попытки так и идут.... а как можно увидеть с какого ИП идут попытки?

[Сергей]

Дмитрий Филандор, Если вы про встроенный фаеровол, то забудьте, не штатное решение Вам бы все показало, RDP открыт?

[morgan]

cure port запустите посмотреть соединения или на антивирусе, если умеет встроенный фаервол посмотреть можно

[Дмитрий Филандор]

Сергей, конечно. Я всем правилам рдп в поле "область" вставил свою айпишку, с которой захожу.... и похоже попытки стихли. Буду ставить не штатный фаервол. Спасибо

Answer 1

[Максим Гришин]

Это брут, скорее всего на RDP - проверьте, не открыт ли он в интернет. А откуда - советую мониторить подключения wireshark'ом какое-то время, заодно понятнее станет, куда ломятся.