web-dev-qa-db-ja.com

アジア中のIPからの匿名ログインの試みですが、どうすればIPがこれを実行できないようにすることができますか?

ロシアからのハッキングの試みは成功し、サーバーの1つがさらなる攻撃のステージングの場として使用されました。実際、サーバーは「サービス」と呼ばれるWindowsアカウントにアクセスすることができました。そのサーバーはSMTPサーバーであり、不要になったため、オフラインにしました(現在サードパーティのシステムが導入されています)。

現在、他のサーバーのいくつかは、イベントビューアで、中国、ルーマニア、イタリアからのIPアドレスを持つこれらの匿名ログイン試行を行っています(ヨーロッパもいくつかあると思います)...これらの人々が何を望んでいるかはわかりませんが、彼らはただサーバーにぶつかり続けます。どうすればこれを防ぐことができますか?

前回、ホストが他のシステムを攻撃していたためにハードウェアノード全体をネットワークから切り離し、サービスがダウンしたため、サーバーが再び侵害されたくありません。これは非常に悪いことです。

これらの奇妙なIPアドレスがサーバーにアクセスしようとするのを防ぐにはどうすればよいですか?

それらは、Parallels Virtuozzo HWノードで実行されているWindowsServer 2003 R2 Enterpriseの「コンテナ」(仮想マシン)です。もちろん、各マシンを独自のサーバーであるかのように個別に構成できます...

更新:新しいログインの試みはまだ行われています、今これらの試みはウクライナにさかのぼっています... WTF ..ここにイベントがあります:

Successful Network Logon:
    User Name:  
    Domain:     
    Logon ID:       (0x0,0xB4FEB30C)
    Logon Type: 3
    Logon Process:  NtLmSsp 
    Authentication Package: NTLM
    Workstation Name:   REANIMAT-328817
    Logon GUID: -
    Caller User Name:   -
    Caller Domain:  -
    Caller Logon ID:    -
    Caller Process ID: -
    Transited Services: -
    Source Network Address: 94.179.189.117
    Source Port:    0


For more information, see Help and Support Center at http://go.Microsoft.com/fwlink/events.asp.

これは私も見つけたフランスからのものです:

Event Type: Success Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:   540
Date:       1/20/2011
Time:       11:09:50 AM
User:       NT AUTHORITY\ANONYMOUS LOGON
Computer:   QA
Description:
Successful Network Logon:
    User Name:  
    Domain:     
    Logon ID:       (0x0,0xB35D8539)
    Logon Type: 3
    Logon Process:  NtLmSsp 
    Authentication Package: NTLM
    Workstation Name:   COMPUTER
    Logon GUID: -
    Caller User Name:   -
    Caller Domain:  -
    Caller Logon ID:    -
    Caller Process ID: -
    Transited Services: -
    Source Network Address: 82.238.39.154
    Source Port:    0


For more information, see Help and Support Center at http://go.Microsoft.com/fwlink/events.asp.
windows-server-2003securityvirtuozzo
2
MetaGuru

どこからでもこれらのサーバーにアクセスする必要がない場合は、ルーター/ファイアウォールでこれらを実際にブロックする必要があります。その場合、IP範囲からの接続のみを受け入れる必要があります。ホスティングプロバイダーに連絡して、これらのルールをできるだけ早く設定してください。

5
AliGibbs

あなたが見ているのは、ターミナルサービス(RDP)を使用してシステムにアクセスするためのブルートフォース攻撃です。 WindowsベースのPCから:スタートに移動し、runと入力してから、mstscと入力し、Enterをクリックします。サーバーのアドレスを入力します。ユーザー名とパスワードの入力を求められたら、閉じるダイアログをクリックするだけです。次に、サーバーのセキュリティログを確認します。 IPアドレスからのイベントと同じイベントが表示されます。あなたはまだファイアウォールでこれらのパンクをブロックしたいと思うでしょう。誰かがRDPセッションを試みるたびに、Windowsはwinlogon.exeとcsrss.exeを起動します(taskmgrを監視します)。彼らが1秒間に数回ログオンしようとすると、システムの速度が低下します。

3
David

警告:これらは成功した試行です。つまり、サーバーにログインしました。この時点で、サーバーをオフラインにしてファイアウォールルールを変更し、サーバーにすぐにパッチを適用します。世界に向けてポート80のみを開いてほしいように思われるので、ポート80を開いて、このウクライナの範囲を含む、大量の失敗したリクエストが表示された国/地域のIP範囲を拒否します:94.0.0.0/8およびこのIP:82.238.39.154。彼らはまだそれを回避することができますが、それは彼らにとってもう少し面倒になります。

また、これら2台のマシン(少なくとも)は、クリーンであるかどうかを確認するために監査する必要があります:REANIMAT-328817とCOMPUTER。

詳細を読んだ後、適切なファイアウォールソリューションが適切に配置されているか、適切に構成されているようには見えません。サーバーをオンラインに戻す前に、上記を実行して適切なファイアウォールを実装します。また、これらのマシンにはバックドアが組み込まれている可能性が高いため、これらのマシンを信頼することはできません。 OSのイメージを再作成または再インストールする時間など...

0
jschorr