服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 匿名login尝试从亚洲各地的IP,我怎么阻止他们能够做到这一点?
Intereting Posts
如何将现有的Windows Server 2008 R2系统从Amazon EC2迁移到Windows Azure? SCCM Server 2012 WMI查询缺less特定主机上的Microsoft修补程序 可能有一个本地存档邮箱的云主邮箱? Linux – 进程重新启动后,进程超时的传出连接 在CentOS 6上运行两个apache(httpd)服务器 如何设置路由规则以允许httpsstream量 当用户注销时,Mac OS X桌面背景重置为“Andromeda Galaxy.jpg” 我如何检查后缀队列大小? 没有包提供libssl.so.10 我应该在Sonicwall 2400上为新的SSLVPN设置创build第二个WAN接口吗? 进程卡在刚刚更新的2台服务器上 计算接收Postfix邮件服务器成功交付与失败 你用什么Makefiles(除了自动化) 当运行interactivelly或通过cron时,脚本bash无法获得$ PS1或$ – 的区别 如何在服务器上添加更多的RAID 1存储?

匿名login尝试从亚洲各地的IP,我怎么阻止他们能够做到这一点?

我们从俄罗斯进行了一次成功的黑客攻击,其中一台服务器被用作进一步攻击的舞台,实际上他们设法访问了一个名为“服务”的Windows帐户。 我把这台服务器作为我们的SMTP服务器离线,不再需要它(第三方系统现在就位)。

现在我们其他一些服务器在事件查看器中有这些匿名login的尝试,它们的IP地址来自中国,罗马尼亚,意大利(我猜这里也有一些欧洲)…我不知道这些人想要什么,他们只是一直打到服务器。 我怎样才能防止这个?

我不希望我们的服务器再次受到攻击,上次我们的主机将我们的整个硬件节点从networking中删除,因为它攻击了其他系统,导致我们的服务出现故障。

我怎样才能防止这些奇怪的IP地址试图访问我的服务器?

它们是在Parallels Virtuozzo HW节点上运行的Windows Server 2003 R2 Enterprise“容器”(虚拟机),如果这样做有所帮助的话。 我可以configuration每台机器,就好像它是自己的服务器当然…

更新:新的login尝试仍在发生,现在这些正在追溯到乌克兰…跆拳道..这里是事件: 

Successful Network Logon: User Name: Domain: Logon ID: (0x0,0xB4FEB30C) Logon Type: 3 Logon Process: NtLmSsp Authentication Package: NTLM Workstation Name: REANIMAT-328817 Logon GUID: - Caller User Name: - Caller Domain: - Caller Logon ID: - Caller Process ID: - Transited Services: - Source Network Address: 94.179.189.117 Source Port: 0 For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

这里是我从法国find的一个: 

 Event Type: Success Audit Event Source: Security Event Category: Logon/Logoff Event ID: 540 Date: 1/20/2011 Time: 11:09:50 AM User: NT AUTHORITY\ANONYMOUS LOGON Computer: QA Description: Successful Network Logon: User Name: Domain: Logon ID: (0x0,0xB35D8539) Logon Type: 3 Logon Process: NtLmSsp Authentication Package: NTLM Workstation Name: COMPUTER Logon GUID: - Caller User Name: - Caller Domain: - Caller Logon ID: - Caller Process ID: - Transited Services: - Source Network Address: 82.238.39.154 Source Port: 0 For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

如果您不需要从任何地方访问这些服务器,则应该在路由器/防火墙上阻止这些服务器,那么他们应该只接受来自IP范围的连接。 联系您的托pipe服务提供商,尽快获得这些规则设置。

你所看到的是利用terminal服务(RDP)进入系统的暴力攻击。 从基于Windows的PC上:开始,inputrun,然后inputmstsc,然后单击enter。 input你的服务器的地址。 当提示input用户名和密码时,只需点击closures对话框即可。 然后,看看你的服务器的安全日志。 您将看到您看到来自您的IP地址的相同事件。 你仍然希望在防火墙上阻止这些混乱。 每次有人尝试RDP会话时,Windows将启动winlogon.exe和csrss.exe(watch taskmgr)。 如果他们试图每秒钟login多次,系统会放慢速度。

警告:这些是成功的尝试,意味着他们login到您的服务器。 在这一点上,我会离开服务器并修改防火墙规则,并立即修补服务器。 听起来好像你只希望80号港口向世界开放,所以只要你打开并否认任何国家/地区的IP范围,你看到了大量的失败请求,包括乌克兰的范围:94.0.0.0/8和这个IP:82.238.39.154。 他们仍然可以解决这个问题,但是这对他们来说更加麻烦。

此外,这两台机器(至less)需要审计,看看他们是否干净:REANIMAT-328817和计算机。

阅读更多内容后,您似乎没有适当的防火墙解决scheme或正确configuration。 我会做上述和实施一个适当的防火墙之前,把服务器重新联机。 而且,你真的不能相信那些机器了,因为它们现在可能有后门。 时间重新映像或重新安装操作系统等…