Milhares de logins com falha [Código 4625]

Question

Milhares de logins com falha [Código 4625]

#1 resposta do (3 votos)

0

Estou recebendo muitos logins com falha no meu servidor raiz do windows.

Já bloqueei a porta RDP, mas no visualizador de eventos ainda vejo muitos logins com falha. Eles se parecem com isso:

Fehler beim Anmelden eines Kontos.

Antragsteller:
    Sicherheits-ID:     NULL SID
    Kontoname:      -
    Kontodomäne:        -
    Anmelde-ID:     0x0

Anmeldetyp:         3

Konto, für das die Anmeldung fehlgeschlagen ist:
    Sicherheits-ID:     NULL SID
    Kontoname:          Administrator
    Kontodomäne:        JSJFIDC

Fehlerinformationen:
    Fehlerursache:      Unbekannter Benutzername oder ungültiges Kennwort.
    Status:             0xc000006d
    Unterstatus::       0xc000006a

Prozessinformationen:
    Aufrufprozess-ID:   0x0
    Aufrufprozessname:  -

Netzwerkinformationen:
    Arbeitsstationsname:    JSJFIDC
    Quellnetzwerkadresse:   222.186.21.162
    Quellport:      3074

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:             NtLmSsp 
    Authentifizierungspaket:    NTLM
    Übertragene Dienste:        -
    Paketname (nur NTLM):       -
    Schlüssellänge:             0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert.
Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an,
von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst
wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder
"Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten
Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an,
für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.
Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen
Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte
Informationen zu dieser speziellen Anmeldeanforderung.
    - Die übertragenen Dienste geben an, welche Zwischendienste an
      der Anmeldeanforderung beteiligt waren.
    - Der Paketname gibt das in den NTLM-Protokollen verwendete
      Unterprotokoll an.
    - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels
      an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

O problema é que parece um ataque de força bruta. O IP de origem (222.186.21.162 neste caso) é diferente a cada vez e recebo logins com falha quase a cada segundo.

Importante é esta parte:

 Anmeldeprozess:                NtLmSsp 
 Authentifizierungspaket:       NTLM
 ......
 Fehlerursache:      Unbekannter Benutzername oder ungültiges Kennwort.

Diz

 Authentication Process:        NtLmSsp 
 Auth Packet:                   NTLM
 ......
 Problem:                       Unknown username or password

Então eu acho que tem algo a ver com o NTLM ..

Eu preciso de NTLM? Ou existe a possibilidade de bloqueá-lo?

windows-firewall ntlm

por modsfabio 03.07.2017 / 10:25

1 resposta

Tags windows-firewall ntlm

ffmpeg conversão de WebM para MP4 - como manter o tamanho do arquivo? não é possível atualizar a nova instalação do Windows 7

score 3 · Accepted Answer

Qualquer coisa e tudo que estiver aberto à internet será atacado constantemente. Um sistema Windows diretamente na internet é uma idéia terrível e você deve colocar o máximo possível atrás do firewall. Se alguém precisar de acesso a esse servidor, instale algum software VPN e conceda-lhe acesso por meio dele (verifique também se as senhas são muito strongs e use as chaves, se possível); e, se puder, separe esse sistema da sua rede também. A VPN limitará os possíveis vetores de ataque. Pode ser uma falha, já que é um ponto único de falha; mas pode ser endurecido para ajudar a reduzir a possibilidade de ser violado.

Voltando à sua pergunta, o NTLM é o LAN Manager e é assim que o Windows faz a autenticação para várias coisas, ele não pode ser desabilitado sem quebrar muitas coisas. Ver um monte de tentativas de login que falharam constantemente poderia definitivamente ser um sinal de um ataque de força bruta como você afirmou. Malware como o WannaCry está sendo espalhado por ter serviços do Windows diretamente na Internet, (SMBv1 a.k.a Windows File Sharing). Conecte esses buracos e deixe que qualquer pessoa afirme que não quer ser incomodado com uma etapa da VPN que esteja solicitando malware, como o WannaCry.

Indeed, the ‘ransomworm’ that took the world by storm was not distributed via an email malspam campaign. Rather, our research shows this nasty worm was spread via an operation that hunts down vulnerable public facing SMB ports and then uses the alleged NSA-leaked EternalBlue exploit to get on the network and then the (also NSA alleged) DoublePulsar exploit to establish persistence and allow for the installation of the WannaCry Ransomware.

Como o ransomworm WannaCry se espalhou? - Laboratórios Malwarebytes | Laboratórios Malwarebytes