Diagnosticando entradas de log de eventos de falha de auditoria de logon

Navegue suas respostas
1

Eu ajudo um cliente a gerenciar um site que é executado em um servidor web dedicado em uma empresa de hospedagem. Recentemente, notamos que nas últimas duas semanas houve dezenas de milhares de entradas de Falha de Auditoria no Log de Eventos de Segurança com Categoria de Tarefa de Logon - essas ocorreram a cada dois segundos, mas as interações pararam por completo a partir de dois dias atrás .

Em geral, a descrição do evento é semelhante à seguinte: 

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:       ...The Hosting Account...
    Account Domain:     ...The Domain...
    Logon ID:       0x3e7

Logon Type:         10

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       david
    Account Domain:     ...The Domain...

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xc000006d
    Sub Status:     0xc0000064

Process Information:
    Caller Process ID:  0x154c
    Caller Process Name:    C:\Windows\System32\winlogon.exe

Network Information:
    Workstation Name:   ...The Domain...
    Source Network Address: 173.231.24.18
    Source Port:        1605

O valor no campo Nome da conta é diferente. Acima você vê "david", mas há aqueles com "john", "console", "sys" e até aqueles como "support83423" e outros.

O campo Tipo de Logon indica que a tentativa de logon foi uma tentativa interativa remota via Serviços de Terminal ou Área de Trabalho Remota. Minha presunção é que estes são alguns ataques de força bruta tentando adivinhar combinações de nome de usuário / senha para entrar em nosso servidor dedicado. Essas presunções são corretas?

Esses tipos de ataques são muito comuns? Existe uma maneira de ajudar a parar esses tipos de ataques? Precisamos ser capazes de acessar a área de trabalho através da Área de Trabalho Remota, então basta desligar esse serviço não é viável.

Obrigado

    
por Scott Mitchell 26.03.2012 / 18:15

3 respostas

3

Os boletins de segurança de março de 2012 incluem o MS12-020, que é uma vulnerabilidade crítica nos Serviços de Área de Trabalho Remota. Em 19 de março, foi relatado que existe um código de prova de conceito na natureza.

link

link

link

Eu não exporia a Área de Trabalho Remota sem uma solução de smart card ou VPN. Existem soluções VPN de baixo custo disponíveis para avaliação e teste (como o Hamachi). Existem até versões gratuitas, se você não precisar de todos os recursos ou tiver apenas um pequeno número de computadores clientes remotos.

    
por 26.03.2012 / 19:59
2

Eles são comuns? Sim.

Você pode pará-los? Não.

Você não pode impedir alguém de tentar o ataque, mas você pode reduzir sua chance de sucesso mantendo o sistema atualizado com patches, usando algum tipo de IDS / IPS e fazendo a auditoria de seus registros regularmente para ficar ciente de a frequência e volume das tentativas.

    
por 27.03.2012 / 02:51
1

Como Joe mencionou estes são comuns e sua melhor aposta é proteger a área de superfície (atualizações, etc). Estou assumindo que, como este é um servidor dedicado, ele deve estar por trás de um firewall compartilhado / dedicado. Ligue para o seu provedor de hospedagem e peça para eles listarem seus IP's de origem para o 3389 e descartar todos os outros tráfegos que não sejam provenientes de suas fontes.

    
por 28.03.2012 / 00:21

Tags

Manter arquivos enviados em sincronia através de vários servidores - LAMP Alterar o domínio do remetente no Exchange