服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Windows Server 2003 W3SVC失败,蛮力攻击可能是原因
Intereting Posts
如何将备份MX的exception添加到tumgreyspf? 格式和probe-scsi-all输出之间的不一致 我怎么能告诉星号来初始化每个音乐暂停应用程序时,需要而不是不断 snmptrapd traphandle到php脚本 监视BGP连接 aws ec2 ubuntu设置用户名/密码不能连接的sftp postfix smtpd拒绝来自外部networking的邮件match_list_match:不匹配 帮助Apache Tomcat SSL证书 – 即使证书是从CA购买的,也是自签名的 运行木偶执行文件更新权从第一次申请 Windows Server清除注销策略 在Linux中列出不可写入的文件 如何覆盖子节点中的puppet类参数? 是否有DNS服务器支持ALIAStypes的顶点logging? 阿帕奇 – 突然“太多打开的文件” 用户创build后添加/更新骨架文件

Windows Server 2003 W3SVC失败,蛮力攻击可能是原因

本周我的网站已经消失了两次,没有明显的原因。 我login到我的服务器(Windows Server 2003 Service Pack 2),并重新启动World Web Publishing服务,网站仍然closures。 我尝试重新启动一些其他服务,如DNS和冷聚变,网站仍然closures。

最后我重新启动了服务器,网站又出现了。

昨天晚上,网站再次下降。 这次我login并查看了事件日志。

可怕的东西!

有数百个这样的: 

Event Type: Information Event Source: TermService Event Category: None Event ID: 1012 Date: 30/01/2012 Time: 15:25:12 User: N/A Computer: SERVER51338 Description: Remote session from client name a exceeded the maximum allowed failed logon attempts. The session was forcibly terminated.

频率在每分钟3-5个左右。 大约在我的网站去世的时候有一个这样的: 

 Event Type: Information Event Source: W3SVC Event Category: None Event ID: 1074 Date: 30/01/2012 Time: 19:36:14 User: N/A Computer: SERVER51338 Description: A worker process with process id of '6308' serving application pool 'DefaultAppPool' has requested a recycle because the worker process reached its allowed processing time limit.

这显然是什么杀了networking服务。

那时有几个这样的: 

 Event Type: Error Event Source: TermDD Event Category: None Event ID: 50 Date: 30/01/2012 Time: 20:32:51 User: N/A Computer: SERVER51338 Description: The RDP protocol component "DATA ENCRYPTION" detected an error in the protocol stream and has disconnected the client. Data: 0000: 00 00 04 00 02 00 52 00 ......R. 0008: 00 00 00 00 32 00 0a c0 ....2..À 0010: 00 00 00 00 32 00 0a c0 ....2..À 0018: 00 00 00 00 00 00 00 00 ........ 0020: 00 00 00 00 00 00 00 00 ........ 0028: 92 01 00 00 ...

没有更多的第一个错误types。

我担心有人试图强行进入我的服务器。 我已经禁用所有的帐户,除了IIS和pipe理员(我已经重命名)。 我也将密码更改为更安全的密码。

我不知道为什么这个暴力攻击导致web服务停止,我不知道为什么重新启动服务没有解决问题。

我应该怎么做,以确保我的服务器是安全的,我应该怎么做才能确保Web服务器不会停止?

谢谢。

也许,但把它们当作症状,并确保理论适合。

回收事件只是一个“应用程序池达到1740分钟限制”的消息。 这意味着你的网站已经运行了29个小时(假设它有默认的回收设置),然后回收时间限制被踢了进来。

回收,默认情况下,开始一个新的过程之前,旧的消失。 这意味着服务的任何中断都是最小的(取决于你的新进程需要初始化的时间),但不是不存在的。

但是真的很难把这种情况与RDP的任何forms的蛮力联系在一起,不是吗? 除了事件的关联之外,还有什么?

增加站点上的IIS日志logging。 你应该能够获得一些信息。

首先我要做的是改变默认的RDP端口,不要使用默认的3389端口。 如果服务器直接或通过端口转发暴露于Internet,则不应使用默认的RDP端口。 这只是要求麻烦。 改变端口不会让你更安全 – 至less在技术上 – 但它会阻止大量的蠕虫/扫描仪等检测到它。

检查安全事件日志,假设它没有被篡改,并查看是否有任何通过RDP成功login。 这些将是事件528,logintypes为10.如果通过除自己以外的其他login成功,那么您将不得不假定服务器已被入侵。 入侵的目的可能是在您的Web服务器上安装恶意软件。 如果它被破坏,你可能需要重新安装,或者做一个非常仔细的评估,以find任何types的rootkit,特洛伊木马等。

我还会评估IIS日志以查看攻击来自哪里,并假设您有防火墙阻止来自防火墙的IP。 有一些设备将永远阻止可疑的IP范围,这显然是一个更好的方法。

最后,我build议安装事件日志监视产品。 我们创build一个名为EventSentry的产品,实时监控事件日志。 我们有一个名为EventSentry Light的免费社区版,至less可以在发现事件时通过电子邮件提醒您。 这样,您可以采取自动操作,或立即采取行动。

祝你好运。