Tentativas de logon - Toneladas de auditorias de falhas no Visualizador de Eventos no Controlador de Domínio (Server 2003)

1

Este é o aspecto do evento, em Logs de segurança. Existem toneladas deles. Alguém está tentando forçar a rede? Este servidor também é usado como um servidor de serviços de terminal. Obrigado qualquer conselho / ajuda seria muito apreciado.

Solicitação de ticket de autenticação:

User Name:      rosu
Supplied Realm Name:    my domain
User ID:            -
Service Name:       krbtgt/my domain
Service ID:     -
Ticket Options:     0x40810010
Result Code:        0x6
Ticket Encryption Type: -
Pre-Authentication Type:    -
Client Address:     127.0.0.1
Certificate Issuer Name:    
Certificate Serial Number:  
Certificate Thumbprint:

Agora, se você notar o usuário, para cada evento como este, o nome de usuário muda e eles parecem ser todas tentativas alfabéticas se eu classificar por data. O IP aqui é interno neste, mas para a maioria é um IP externo, como 213.88.247.2 .. Parece que a porta de origem no evento também muda. Dê uma olhada em outro:

Falha de logon:

Reason:     Unknown user name or bad password
User Name:  rout
Domain:     my Domain
Logon Type: 10
Logon Process:  User32  
Authentication Package: Negotiate
Workstation Name:   my Server Hostname
Caller User Name:   my Server Hostname$
Caller Domain:  my Domain
Caller Logon ID:    (0x0,0x3E7)
Caller Process ID:  7576
Transited Services: -
Source Network Address: 213.88.247.2
Source Port:    3030

Hmm?

    
por Samuel Pardee 15.09.2014 / 22:32

3 respostas

0

Sim, alguém está tentando invadir seu servidor. Ou eles têm uma maneira de saber se o login falhou para um usuário inexistente ou uma senha errada, ou se estão tentando um ataque com nomes de usuários aleatórios e senhas aleatórias.

Se você tiver certeza de que todos os seus usuários têm senhas strongs, ignore isso. Você também pode bloquear os endereços de origem se houver apenas um punhado deles, ou alterar sua arquitetura de rede para que possa ser remotamente conectado a esse servidor a partir de sua LAN ou VPN.

    
por 16.09.2014 / 00:53
1

Acho que nosso servidor de terminal foi deixado aberto para o exterior e alguém estava tentando um ataque de dicionário. Vou desligar o acesso de fora - como isso deveria ter sido fechado há muito tempo.

    
por 15.09.2014 / 23:00
0

O tipo de logon 10 é uma tentativa de logon interativo remoto. Portanto, sim, essas são tentativas de entidades externas de fazer logon no DC através dos Serviços de Terminal. Como é que eles podem alcançar seu CD?

link

    
por 15.09.2014 / 23:29