ईवेंट 4625 बिना सोर्स आईपी के

10

हम विकास और उत्पादन वातावरण के लिए कुल 7 विंडोज सर्वर (2008/2012) आर 2 मानक संस्करणों का उपयोग कर रहे हैं। पिछले महीने हमारे सर्वर से छेड़छाड़ की गई थी और हमने विंडोज़ इवेंट व्यूअर में कई असफल प्रयास लॉग पाए। हमने साइबर आईडी आईडीडीएस की कोशिश की लेकिन यह पहले अच्छा साबित नहीं हुआ।

अब हमने अपने सभी सर्वरों का नाम बदलकर प्रशासक / अतिथि खातों का नाम बदल दिया है। और फिर से सर्वर स्थापित करने के बाद हम अवांछित आईपी पते का पता लगाने और ब्लॉक करने के लिए इस मूर्तियों का उपयोग कर रहे हैं ।

आईडीडीएस अच्छा काम कर रहा है, लेकिन फिर भी हमें इवेंट व्यूअर में 4625 इवेंट्स बिना किसी सोर्स आईपी एड्रेस के मिल रहे हैं। मैं गुमनाम आईपी पते से इन अनुरोधों को कैसे रोक सकता हूं?

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
  <System>
    <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime='2015-04-18T15:18:10.818780700Z'/>
    <EventRecordID>187035</EventRecordID>
    <Correlation/>
    <Execution ProcessID='24876' ThreadID='133888'/>
    <Channel>Security</Channel>
    <Computer>s17751123</Computer>
    <Security/>
  </System>
  <EventData>
    <Data Name='SubjectUserSid'>S-1-0-0</Data>
    <Data Name='SubjectUserName'>-</Data>
    <Data Name='SubjectDomainName'>-</Data>
    <Data Name='SubjectLogonId'>0x0</Data>
    <Data Name='TargetUserSid'>S-1-0-0</Data>
    <Data Name='TargetUserName'>aaron</Data>
    <Data Name='TargetDomainName'>\aaron</Data>
    <Data Name='Status'>0xc000006d</Data>
    <Data Name='FailureReason'>%%2313</Data>
    <Data Name='SubStatus'>0xc0000064</Data>
    <Data Name='LogonType'>3</Data>
    <Data Name='LogonProcessName'>NtLmSsp </Data>
    <Data Name='AuthenticationPackageName'>NTLM</Data>
    <Data Name='WorkstationName'>SSAWSTS01</Data>
    <Data Name='TransmittedServices'>-</Data>
    <Data Name='LmPackageName'>-</Data>
    <Data Name='KeyLength'>0</Data>
    <Data Name='ProcessId'>0x0</Data>
    <Data Name='ProcessName'>-</Data>
    <Data Name='IpAddress'>-</Data>
    <Data Name='IpPort'>-</Data>
  </EventData>
</Event>

अद्यतन: मेरे फ़ायरवॉल लॉग की जाँच करने के बाद, मुझे लगता है कि ये 4625 घटनाएँ वैसे भी Rdp से संबंधित नहीं हैं, लेकिन SSH या कोई अन्य प्रयास हो सकता है जिससे मैं परिचित नहीं हूँ

windows-server-2008-r2  windows-server-2012-r2 
एलन
स्रोत
यदि आपके पास वर्कस्टेशन नाम है, तो आपको आईपी पते की आवश्यकता क्यों है?
ग्रेग एस्क्यू
इस वर्कस्टेशन का नाम हमारे किसी भी सर्वर / पीसी को नहीं सौंपा गया है। मुझे नहीं लगता कि किसी व्यक्ति को वर्कस्टेशननाम से आईपी एड्रेस मिल सकता है?
एलन
जाहिरा तौर पर उस नाम के साथ एक कार्य केंद्र था - जब तक कि सर्वर इंटरनेट का सामना न कर रहा हो। इस उत्तर को देखें: serverfault.com/a/403638/20701
ग्रेग आस्क्यू
मेरे सभी सर्वर इंटरनेट का सामना कर रहे हैं, इसलिए जैसा कि ऊपर उल्लेख किया गया है NTLMv2 के साथ सुरक्षित है। इसके अलावा, हम असफल rdp हमलों के बाद अवरुद्ध किए गए IP पते देख रहे हैं, लेकिन Eventveiwer में कुछ लॉग में IP पता नहीं है और संबद्ध नहीं है। हम जिन मूर्तियों का उपयोग कर रहे हैं, वे अन्य 4625 हमलों की तुलना में अलग से असफल Rdp हमलों को दिखाती हैं
Alan
उत्तर यहाँ है: serverfault.com/a/403638/242249
स्पोंगमैन

जवाबों:

8

विफल RDP प्रयासों के लिए IP पता यहां भी लॉग किया गया है, यहां तक ​​कि NLA सक्षम (कोई ट्वीक की आवश्यकता नहीं) (सर्वर 2012 R2 पर परीक्षण किया गया, अन्य संस्करणों के लिए निश्चित नहीं)

अनुप्रयोग और सेवाएँ लॉग> Microsoft-Windows-RemoteDesktopServices-RdpCoreTS / ऑपरेशनल (ईवेंट आईडी 140)

लॉग टेक्स्ट उदाहरण:

108.166.xxx.xxx के IP पते के साथ क्लाइंट कंप्यूटर से एक कनेक्शन विफल रहा क्योंकि उपयोगकर्ता नाम या पासवर्ड सही नहीं है।

एक्सएमएल:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS" Guid="{1139C61B-B549-4251-8ED3-27250A1EDEC8}" /> 
  <EventID>140</EventID> 
  <Version>0</Version> 
  <Level>3</Level> 
  <Task>4</Task> 
  <Opcode>14</Opcode> 
  <Keywords>0x4000000000000000</Keywords> 
  <TimeCreated SystemTime="2016-11-13T11:52:25.314996400Z" /> 
  <EventRecordID>1683867</EventRecordID> 
  <Correlation ActivityID="{F4204608-FB58-4924-A3D9-B8A1B0870000}" /> 
  <Execution ProcessID="2920" ThreadID="4104" /> 
  <Channel>Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational</Channel> 
  <Computer>SERVER</Computer> 
  <Security UserID="S-1-5-20" /> 
  </System>
- <EventData>
  <Data Name="IPString">108.166.xxx.xxx</Data> 
  </EventData>
  </Event>
sheriff6241
स्रोत
धन्यवाद, और मैं पुष्टि कर सकता हूँ कि एक ही लॉग भी RDP के माध्यम से सफल लॉगऑन इवेंट के IP को NLA - इवेंट ID 131 का उपयोग करके कैप्चर करता है ।
Trix
अर्घ, नो यूजर नेम ???
jjxtra
3

यह TL25 / SSL का उपयोग करके 4625 ईवेंट और RDP कनेक्शन के साथ एक ज्ञात सीमा है। आपको दूरस्थ डेस्कटॉप सर्वर सेटिंग्स के लिए RDP एन्क्रिप्शन का उपयोग करना होगा, या एक बेहतर IDS उत्पाद प्राप्त करना होगा।

ग्रेग अस्का
स्रोत
हम पहले से ही एन्क्रिप्शन के साथ Rdp का उपयोग कर रहे हैं, हमने पहले से ही साइबर हमले और syspeace की कोशिश की है, और क्या है?
एलन
2

आपको अंतर्निहित विंडोज फ़ायरवॉल और इसकी लॉगिंग सेटिंग्स का उपयोग करना चाहिए। लॉग आपको आने वाले सभी कनेक्शन प्रयासों के आईपी पते बताएंगे। चूंकि आपने उल्लेख किया है कि आपके सभी सर्वर इंटरनेट का सामना कर रहे हैं, इसलिए गहराई की रणनीति में आपके बचाव के एक हिस्से के रूप में विंडोज फ़ायरवॉल का उपयोग न करने का वास्तव में कोई बहाना नहीं है। मैं विशेष रूप से एनएलए (नेटवर्क-स्तरीय प्रमाणीकरण) को बंद नहीं करने की सलाह दूंगा, क्योंकि अतीत में आरडीपी पर हुए हमलों में से कई को ऐतिहासिक रूप से एनएलए के उपयोग से कम किया गया है और केवल आरडीपी सत्र के मेजबान ही क्लासिक आरडीपी एन्क्रिप्शन चला रहे हैं।

Windows फ़ायरवॉल लॉगिंग

रयान रीस
स्रोत
विंडोज़ फ़ायरवॉल लॉगिंग के साथ है, आरडीपी केवल नेटवर्क स्तर प्रमाणीकरण पर अनुमत है, इसलिए हम पहले से ही आपके द्वारा यहां उल्लेख किया गया है, यह बिल्कुल भी उपयोगी नहीं है
एलन
लॉग आपको बताते हैं कि कौन 3389 पोर्ट से कनेक्ट हो रहा है और वे किस आईपी पते से आ रहे हैं, 100% समय। फिर आप उस IP पते को Windows फ़ायरवॉल में एक काली सूची में जोड़ सकते हैं। आपको और क्या चाहिए?
रियान रेज़
इसके अलावा @EvanAnderson: github.com/EvanAnderson/ts_block
Ryan Ries
लॉग की जाँच करने के बाद मुझे अब तक पोर्ट पर कोई भी आईपी नहीं मिला है जिसे मैं ब्लॉक कर सकता हूं, लेकिन हमारे पास आईपी पते हैं जो हमारे सर्वर को अन्य टीसीपी पोर्ट पर पहुंचने की कोशिश कर रहे हैं, जैसे कि इस आईपी: fe80 :: 586d: 5f1f: 165: ac2d मुझे मिला बंदरगाह संख्या 5355 के साथ। मुझे नहीं लगता कि ये 4625 ईवेंट्स आरआरपी अनुरोध से उत्पन्न हुए हैं, एसएसएच या कुछ अन्य प्रयास हो सकते हैं।
एलन
हमने अब डिफ़ॉल्ट बंदरगाहों को बदल दिया है और अनावश्यक बंदरगाहों को अवरुद्ध कर दिया है
एलन
1

यह घटना आमतौर पर एक बासी छिपी हुई साख के कारण होती है। त्रुटि देने वाले सिस्टम से इसे आज़माएँ:

कमांड प्रॉम्प्ट रन से: psexec -i -s -d cmd.exe
नई cmd विंडो रन से: rundll32 keymgr.dll,KRShowKeyMgr

स्टोर किए गए उपयोगकर्ता नाम और पासवर्ड की सूची में दिखाई देने वाली किसी भी वस्तु को हटा दें। कंप्यूटर को पुनरारंभ।

zea62
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.