我帮助客户pipe理在托pipe公司的专用Web服务器上运行的网站。 最近我们注意到在过去的两周里,在login任务类别的安全事件日志中出现了数以万计的审计失败条目,这些条目大约每两秒钟就会发出一次,但是两天前就完全停止了。
一般来说,事件描述如下所示:
An account failed to log on. Subject: Security ID: SYSTEM Account Name: ...The Hosting Account... Account Domain: ...The Domain... Logon ID: 0x3e7 Logon Type: 10 Account For Which Logon Failed: Security ID: NULL SID Account Name: david Account Domain: ...The Domain... Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: 0xc0000064 Process Information: Caller Process ID: 0x154c Caller Process Name: C:\Windows\System32\winlogon.exe Network Information: Workstation Name: ...The Domain... Source Network Address: 173.231.24.18 Source Port: 1605 “ 帐户名称”字段中的值不同。 上面你看到“大卫”,但有一些与“约翰”,“控制台”,“SYS”,甚至像“support83423”什么的。
“ logintypes”字段表示login尝试是通过terminal服务或远程桌面的远程交互式尝试。 我的推测是这些是一些暴力攻击尝试猜测用户名/密码组合,以便login到我们的专用服务器。 这些推定是否正确?
这些types的攻击是相当普遍的吗? 有没有办法来阻止这些types的攻击? 我们需要能够通过远程桌面访问桌面,所以只需closures该服务是不可行的。
谢谢
2012年3月的安全公告包含MS12-020,这是远程桌面服务中的一个严重漏洞。 据报道,3月19日有野外概念validation码。
https://secunia.com/advisories/48395
https://technet.microsoft.com/en-us/security/bulletin/ms12-020
没有智能卡或VPN解决scheme,我不会公开远程桌面。 有价格便宜的VPN解决scheme可用于评估和testing(如Hamachi)。 甚至有免费的版本,如果你不需要所有的function,或只有less量的远程客户端计算机。
他们是共同的吗? 是。
你能阻止他们吗? 没有。
您不能阻止某人尝试攻击,但是您可以通过使用某些types的IDS / IPS来保持系统与补丁的最新状态并定期审计您的日志,从而减less成功的机会,尝试的音量。
正如乔提到的,这些是常见的,你最好的select是确保表面积(更新等)。 我假设,因为这是一个专用服务器,它应该在共享/专用防火墙后面。 打电话给你的托pipe服务提供商,让他们白名单的源IP为3389,并放弃所有其他stream量不是源于您的来源。