Estou jogando com um novo servidor Win2008 R2 instalado e hospedado on-line com uma conexão direta com a web (ou seja, nenhum firewall separado na frente dele).
O servidor está supostamente bloqueado com apenas o RDP ativado. É uma nova instalação, nenhum software instalado ou funções / recursos habilitados (além do RDP). Mas em cerca de 30 dias houve 29.000 tentativas de login malsucedidas, mas fiquei surpreso ao ver muitas "bem-sucedidas" também.
Quais são os logons anônimos, exemplo abaixo? Eu deveria estar preocupado?
O nome da estação de trabalho e o endereço IP são alterados com freqüência. Nas 29.000 tentativas fracassadas, parece que bots / hackers estão tentando adivinhar a senha do administrador.
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 28/10/2011 04:45:11
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: WIN-7I8SE0K3F9M
Description:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0x376b6c
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: SRV001
Source Network Address: 77.39.106.68
Source Port: 1242
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 0
Verifique este artigo: link