Tivemos uma tentativa bem-sucedida de hackers da Rússia e um de nossos servidores foi usado como um local de preparação para novos ataques. De fato, eles conseguiram acessar uma conta do Windows chamada 'serviços'. Eu coloquei esse servidor offline como era nosso servidor SMTP e não preciso mais dele (sistema de terceiros instalado agora).
Agora, alguns dos nossos outros servidores estão tendo essas tentativas de LOGIN ANÔNIMO no Visualizador de Eventos que têm endereços IP vindos da China, Romênia, Itália (eu acho que há um pouco de Europa lá também) ... Eu não sei o que as pessoas querem, mas continuam batendo no servidor. Como posso evitar isso?
Eu não quero que nossos servidores sejam comprometidos novamente, da última vez que nosso host removeu todo o nosso nó de hardware da rede porque estava atacando outros sistemas, fazendo com que nossos serviços caíssem o que é realmente ruim.
Como posso evitar que esses endereços IP estranhos acessem meus servidores?
Eles são 'containers' (máquinas virtuais) do Windows Server 2003 R2 Enterprise executados em um nó Parallels Virtuozzo HW, se isso fizer diferença. Eu posso configurar cada máquina individualmente como se fosse seu próprio servidor, claro ...
ATUALIZAÇÃO: Novas tentativas de login ainda estão acontecendo, agora essas estão sendo rastreadas até a Ucrânia ... WTF .. aqui está o Evento:
Successful Network Logon:
User Name:
Domain:
Logon ID: (0x0,0xB4FEB30C)
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: REANIMAT-328817
Logon GUID: -
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 94.179.189.117
Source Port: 0
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Aqui está um da França que também encontrei:
Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 540
Date: 1/20/2011
Time: 11:09:50 AM
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: QA
Description:
Successful Network Logon:
User Name:
Domain:
Logon ID: (0x0,0xB35D8539)
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: COMPUTER
Logon GUID: -
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 82.238.39.154
Source Port: 0
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Você deve bloqueá-los no roteador / firewall realmente, se você não precisa acessar esses servidores de qualquer lugar, então eles só devem aceitar conexões do seu alcance de IP. Entre em contato com seu provedor de hospedagem e obtenha a configuração dessas regras o mais rápido possível.
O que você está vendo é um ataque de força bruta para obter acesso ao sistema usando serviços de terminal (RDP). Do seu PC baseado em Windows: vá para iniciar, digite run, digite mstsc e clique em enter. Digite o endereço do seu servidor. Quando solicitado para um nome de usuário e senha, basta clicar no diálogo de fechamento. Em seguida, dê uma olhada no log de segurança do seu servidor. Você verá o mesmo evento que está vendo vindo do seu endereço IP. Você ainda vai querer bloquear esses punks no firewall. Toda vez que alguém tentar uma sessão RDP, o Windows executará o winlogon.exe eo csrss.exe (watch taskmgr). Se eles estiverem tentando fazer logon várias vezes por segundo, seu sistema ficará lento.
Aviso: essas são tentativas bem-sucedidas, o que significa que elas efetuaram login no seu servidor. Neste ponto, colocaria o servidor offline e modificaria as regras do firewall e atualizaria o servidor imediatamente. Parece que você quer apenas a porta 80 aberta para o mundo, então basta abrir a porta e negar os intervalos de IP de quaisquer países / regiões para os quais você viu uma tonelada de solicitações com falha, incluindo este intervalo na Ucrânia: 94.0.0.0/8 e este IP: 82.238.39.154. Eles ainda podem contorná-lo, mas isso torna-o um pouco mais trabalhoso para eles.
Além disso, essas duas máquinas (pelo menos) precisam ser auditadas para ver se estão limpas: REANIMAT-328817 e COMPUTER.
Depois de ler mais, não parece que você tenha uma solução de firewall decente no lugar ou configurada corretamente. Eu faria o acima e implementaria um firewall adequado ANTES de colocar o servidor novamente online. Além disso, você realmente não pode confiar mais nessas máquinas, pois elas provavelmente têm portas de trás para elas agora; tempo para recriar imagens ou reinstalar o sistema operacional, etc ...