关于win2003日志、暴力破解的问题
这几天查看了日志发现服务器有被暴力攻破的迹象,但又不很肯定,贴上来请教下大家:
大致情况是每间隔一段时间(1秒~1分钟不等)就有一条关于审核登陆状态的日志,基本上是两条日志“循环出现”的:
日志1:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: YuzhuWS
源工作站: YUZHU
错误代码: 0xC000006A
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
日志2:
登录失败:
原因:用户名未知或密码错误
用户名:YuzhuWS
域:YUZHU
登录类型:2
登录进程:Advapi
身份验证数据包:Negotiate
工作站名称:YUZHU
调用方用户名:YuzhuWS
调用方域:YUZHU
调用方登录 ID:(0x0,0x130BA2)
调用方进程 ID: 3452
传递服务: -
源网络地址:-
源端口:-
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
另外还有一个规律就是凌晨3时~4时左右,是审核失败和审核成功的“转折点”...
转折点前都是“审核失败”,而再往后就基本上全都是"审核成功",其中转折点后的前几条日志是“更改域策略”之类的,如下:
更改了域策略:锁定策略 modified
域名:YUZHU
域 ID:YUZHU\
调用方用户名:YuzhuWS
调用方所属域:YUZHU
调用方登录 ID:(0x0,0x130BA2)
特权:-
更改的属性:
最小密码存留期:-
最大密码存留期:-
强制注销:-
锁定线程:0
锁定观察窗口:0
锁定持续时间:0
密码属性:-
最小密码长度:-
密码历史长度:-
计算机帐户配额 :-
混合域模式:-
域行为版本:-
OEM 信息:-
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
然后就是把我的所有用户(包括超级用户和普通用户、IIS匿名用户、被禁用的用户等)都操作了一遍,如IUser_Server如下:
更改了用户帐户:
目标帐户名称:IUSR_SERVER
目标域:YUZHU
目标帐户 ID:YUZHU\IUSR_SERVER
调用方用户名:YuzhuWS
调用方所属域:YUZHU
调用方登录 ID:(0x0,0x130BA2)
特权:-
更改的属性:
SAM 帐户名称:IUSR_SERVER
显示名称:Internet 来宾帐户
用户主要名称:-
主目录:<未设置值>
主驱动器:<未设置值>
脚本路径:<未设置值>
配置文件路径:<未设置值>
用户工作站:<未设置值>
上一次设置的密码:2008-6-16 9:32:22
帐户过期:<从不>
主要组 ID:513
AllowedToDelegateTo:-
旧 UAC 值:0xB0EF0
新 UAC 值:0xB0EF0
用户帐户控制:-
用户参数:<值已更改,但未显示>
Sid 历史:-
登录时间(以小时计):<值已更改,但未显示>
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
大体上发现的是这些,可能说得比较乱,希望有经验的朋友指点迷津,谢谢!感激!
最后附上“转折点”图:
[解决办法]
自己顶一个...
[解决办法]
贴了快一年都没人理,杯具啊...
[解决办法]
虽然我不知道解决方案!但是我顶一下帮LZ
