web-dev-qa-db-ja.com

Windowsフィルタリングプラットフォームフィルターが変更されました-ファイルとプリンターの共有

私のWindows2008 R2サーバーは、大量のログイン試行を繰り返します。
誰かがブルートフォース攻撃を実行していると思います。
おかしなことに、MySQL構成ファイルが昨夜削除されたので、何らかの形で取得されたに違いありません。しかし同時に、私のイベントログには次のメッセージがすべて含まれています。

A Windows Filtering Platform filter has been changed.

Subject:
    Security ID:        LOCAL SERVICE
    Account Name:       NT AUTHORITY\LOCAL SERVICE

Process Information:
    Process ID: 1184

Provider Information:
    ID:     {decc16ca-3f33-4346-be1e-8fb4ae0f3d62}
    Name:       Microsoft Corporation

Change Information:
    Change Type:    Delete

Filter Information:
    ID:     {3798315c-c633-46ee-8421-89dab23673e9}
    Name:       File and Printer Sharing (Spooler Service - RPC-EPMAP)
    Type:       Not persistent
    Run-Time ID:    3444308

Layer Information:
    ID:     {e1cd9fe7-f4b5-4273-96c0-592e487b8650}
    Name:       ALE Receive/Accept v4 Layer
    Run-Time ID:    44

Callout Information:
    ID:     {00000000-0000-0000-0000-000000000000}
    Name:       -

Additional Information:
    Weight: 10378404878664860156    
    Conditions: 
    Condition ID:   {af043a0a-b34d-4f86-979c-c90371af6e66}
    Match value:    Equal to
    Condition value:    
O:SYG:SYD:(A;;CCRC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080)


    Condition ID:   {0c1ba1af-5765-453f-af22-a8f791ac775b}
    Match value:    Equal to
    Condition value:    0x0087

    Condition ID:   {46ea1551-2255-492b-8019-aabeee349f40}
    Match value:    Equal to
    Condition value:    0x00000003

    Condition ID:   {ab3033c9-c0e3-4759-937d-5758c65d4ae3}
    Match value:    Equal to
    Condition value:    0x00000003

    Condition ID:   {3971ef2b-623e-4f9a-8cb1-6e79b806b9a7}
    Match value:    Equal to
    Condition value:    0x06

    Filter Action:  Permit

残念ながら、私のホスティング会社は非常に反応が悪く、あまり役に立ちません。彼らの唯一の応答は私のパスワードを変更することです...誰かが彼らが何を意味し、どこから来たのか知っていますか? Windowsファイアウォールルールだと思います。しかし、これは正常ですか、それともどういう意味ですか?

2
Remy

あなたの質問では、さまざまなことがたくさん起こっています。それらについては個別に説明します。


私のWindows Server 2008 R2サーバーは、大量のログイン試行を繰り返します。誰かがブルートフォース攻撃を実行していると思います。

一般的なアドバイスとして:推測しないでください。知っている。コンピュータシステムは非常に複雑です。優れたシステム管理者は、まずすべての症状を特定し、再現性をテストし、証拠を収集してから、根本的な問題が何であるかについて合理的な仮定を立てる必要があります。 Guess and Checkメソッドは、運が良ければ機能します。

イベントログを調べて、ログインの試行をアップストリームプロバイダーのIDS情報と関連付ける必要があります。ブルートフォースログイン攻撃かもしれませんし、パスワードが変更されたサービスアカウントかもしれませんし、適切な権限を持たなくなったアプリケーションかもしれません。それはたくさんのことかもしれません。

最後に、そして最も重要なこと-なぜあなたのサーバーはビッグバッドインターネットにまったくさらされているのですか?あなた本当にはファイアウォールまたはVPNの背後にあるはずです。


おかしなことに、MySQL構成ファイルが昨夜削除されたので、何らかの形で取得されたに違いありません。

それはちょっとおかしいですが、繰り返しますが、それは侵入者でしたか?誤って削除したのではないでしょうか。繰り返しますが、推測しないでください。知っている。ファイルアクセスを監査していますか?所有権は変わりますか?少なくとも、構成ファイルが突然変更されたものや欠落しているものについて、よりよく理解できるはずです。


Windowsフィルタリングプラットフォーム

Windows Filtering Platform については、MSDNを確認してください。

WFPはAPIを提供しているため、TCP/IPプロトコルスタックの複数の層で発生するフィルタリングの決定に参加できます。 WFPは、認証された通信や、アプリケーションによるWindows Sockets APIの使用に基づく動的ファイアウォール構成などの次世代ファイアウォール機能も統合してサポートします。この機能は、アプリケーションとも呼ばれます。ベースのポリシー。

あなたが投稿した例は、フ​​ァイルとプリンターの共有(スプーラーサービス-RPC-EPMAP)のPERMITフィルターを削除していると思います。もう少し読んでいれば、それを確認できるはずです。この特定のイベントがセキュリティの問題に関連しているとは思いません(他のWFPイベントがそうではない!)という意味ではありません)。


サーバーが危険にさらされていますか?

アラームを鳴らす前に、調査を行い、サポートオプションを利用して、サーバーが実際に侵害されていることを確認してください。この件に関する標準的な質問を読んで、プロセスを支援してください: 侵害されたサーバーに対処するにはどうすればよいですか? 。幸運を!

5
user62491