Tivemos uma tentativa bem-sucedida de hackers da Rússia e um de nossos servidores foi usado como um local de preparação para novos ataques. De fato, eles conseguiram acessar uma conta do Windows chamada 'serviços'. Eu coloquei esse servidor offline como era nosso servidor SMTP e não preciso mais dele (sistema de terceiros instalado agora).
Agora, alguns dos nossos outros servidores estão tendo essas tentativas de LOGIN ANÔNIMO no Visualizador de Eventos que têm endereços IP vindos da China, Romênia, Itália (eu acho que há um pouco de Europa lá também) ... Eu não sei o que as pessoas querem, mas continuam batendo no servidor. Como posso evitar isso?
Eu não quero que nossos servidores sejam comprometidos novamente, da última vez que nosso host removeu todo o nosso nó de hardware da rede porque estava atacando outros sistemas, fazendo com que nossos serviços caíssem o que é realmente ruim.
Como posso evitar que esses endereços IP estranhos acessem meus servidores?
Eles são 'containers' (máquinas virtuais) do Windows Server 2003 R2 Enterprise executados em um nó Parallels Virtuozzo HW, se isso fizer diferença. Eu posso configurar cada máquina individualmente como se fosse seu próprio servidor, claro ...
ATUALIZAÇÃO: Novas tentativas de login ainda estão acontecendo, agora essas estão sendo rastreadas até a Ucrânia ... WTF .. aqui está o Evento:
Successful Network Logon:
User Name:
Domain:
Logon ID: (0x0,0xB4FEB30C)
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: REANIMAT-328817
Logon GUID: -
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 94.179.189.117
Source Port: 0
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Aqui está um da França que também encontrei:
Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 540
Date: 1/20/2011
Time: 11:09:50 AM
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: QA
Description:
Successful Network Logon:
User Name:
Domain:
Logon ID: (0x0,0xB35D8539)
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: COMPUTER
Logon GUID: -
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 82.238.39.154
Source Port: 0
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.