我们遇到了专用服务器的问题,它经常挂起(有时在电源周期后的几个小时之后)。
我查看了事件查看器,并在SYSTEM下,有数千个已经logging的事件。 最主要的事件是ID:1012 “来自客户端名称a的远程会话超过了允许的最大login失败次数,会话被强制终止。
我不太熟悉所有的术语,但这是否意味着黑客已经尝试login?
这个事件每7秒钟就会popup一个小时,然后有一个停止的时间,但再过几个小时之后又重新开始。
另一个主要事件是ID:100 “由于以下错误,服务器无法loginWindows NT帐户'ADMINISTRATOR':login失败:未知用户名或密码错误”
我看到他们一个接一个地排在后面。
这是另一个黑客问题吗?
这些事件是使用我的服务器ram,然后最终服务器无法运行,使其挂起?
顺便说一句,我们正在运行的Windows 2003。
*请记住我对所有术语都不太熟悉,所以如果你能用外行的话来解释,我会很感激的。
听起来像远程桌面暴露在互联网上,你会看到失败的login尝试的结果。
我build议让有networking经验的人来看看你的设置。 如果你的服务器暴露在互联网上,没有启用防火墙,也没有外围防火墙,这是一个灾难的秘诀。
很难说不知道服务器的规格,但过多的连接尝试或会话可以粉碎服务器,是的。 而且听起来好像有人在你的服务器上运行一个powershell攻击(显然是用脚本)。
我build议:
1)将Administrator帐户的用户名更改为默认值以外的值。 (例如,您可以使用Linux的发明者,“LinusTorvalds”作为您的本地pipe理员用户名。)为用户名挑选一些不寻常的东西,基本上可以消除攻击者能够猜测进入pipe理访问的可能性。
2)找出哪些IP正在发出这些请求(应与安全失败相同的日志条目)并阻止它们。 我忘记了如何使用Server 2003 / XP Windows防火墙,但请查看Technet的指南。 ( http://technet.microsoft.com/en-us/library/cc778148%28v=ws.10%29.aspx )这应该有助于减less服务器负载并停止服务器崩溃。
3)在你的服务器前面安装一个[硬件]防火墙,以及一个知道如何正确configuration它的人。 你已经看到有人试图通过RDP每7秒访问你的服务器,并且对更常见的面向networking的协议(http,ftp,ssh等)的攻击数量可能会高很多。 如果您在另一个协议中很脆弱,保护RDP对您不会有任何好处。