উত্স আইপি ছাড়াই ইভেন্ট আইডি 4625

10

আমরা বিকাশ এবং উত্পাদন পরিবেশের জন্য মোট 7 উইন্ডোজ সার্ভার (২০০৮/২০১২) আর 2 স্ট্যান্ডার্ড সংস্করণ ব্যবহার করছি। গত মাসে আমাদের সার্ভারগুলি আপোস করা হয়েছিল এবং আমরা উইন্ডোজ ইভেন্ট দর্শনে অনেক ব্যর্থ প্রচেষ্টা লগগুলি পেয়েছি। আমরা সাইবারারাম আইডিডিএস চেষ্টা করেছি তবে এটি আগে ভাল প্রমাণিত হয়নি।

এখন আমরা আমাদের সমস্ত সার্ভারগুলি পুনরায় চিত্রযুক্ত করেছি এবং প্রশাসক / অতিথি অ্যাকাউন্টগুলির নতুন নামকরণ করেছি। এবং সার্ভারগুলি আবার সেট আপ করার পরে আমরা এই আইডগুলি ব্যবহার করে অযাচিত আইপি ঠিকানাগুলি সনাক্ত করতে এবং অবরুদ্ধ করতে চাই।

আইডিডিএস ভাল কাজ করছে তবে তবুও আমরা কোনও উত্স আইপি ঠিকানা ছাড়াই ইভেন্ট ভিউয়ারে 4625 ইভেন্ট পাচ্ছি। বেনামে আইপি ঠিকানা থেকে এই অনুরোধগুলি কীভাবে অবরুদ্ধ করতে পারি?

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
  <System>
    <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime='2015-04-18T15:18:10.818780700Z'/>
    <EventRecordID>187035</EventRecordID>
    <Correlation/>
    <Execution ProcessID='24876' ThreadID='133888'/>
    <Channel>Security</Channel>
    <Computer>s17751123</Computer>
    <Security/>
  </System>
  <EventData>
    <Data Name='SubjectUserSid'>S-1-0-0</Data>
    <Data Name='SubjectUserName'>-</Data>
    <Data Name='SubjectDomainName'>-</Data>
    <Data Name='SubjectLogonId'>0x0</Data>
    <Data Name='TargetUserSid'>S-1-0-0</Data>
    <Data Name='TargetUserName'>aaron</Data>
    <Data Name='TargetDomainName'>\aaron</Data>
    <Data Name='Status'>0xc000006d</Data>
    <Data Name='FailureReason'>%%2313</Data>
    <Data Name='SubStatus'>0xc0000064</Data>
    <Data Name='LogonType'>3</Data>
    <Data Name='LogonProcessName'>NtLmSsp </Data>
    <Data Name='AuthenticationPackageName'>NTLM</Data>
    <Data Name='WorkstationName'>SSAWSTS01</Data>
    <Data Name='TransmittedServices'>-</Data>
    <Data Name='LmPackageName'>-</Data>
    <Data Name='KeyLength'>0</Data>
    <Data Name='ProcessId'>0x0</Data>
    <Data Name='ProcessName'>-</Data>
    <Data Name='IpAddress'>-</Data>
    <Data Name='IpPort'>-</Data>
  </EventData>
</Event>

আপডেট: আমার ফায়ারওয়াল লগগুলি যাচাই করার পরে আমি মনে করি এই 4625 টি ইভেন্ট যাইহোক আরডিপির সাথে সম্পর্কিত নয় তবে এসএসএইচ বা অন্য কোনও প্রচেষ্টা হতে পারে যার সাথে আমি পরিচিত নই

windows-server-2008-r2  windows-server-2012-r2 
অ্যালান
সূত্র
আপনার ওয়ার্কস্টেশনের নাম থাকলে আপনার আইপি ঠিকানাটি কেন প্রয়োজন?
গ্রেগ Askew
এই ওয়ার্কস্টেশনের নামটি আমাদের কোনও সার্ভার / পিসি-তে বরাদ্দ করা হয়নি। আমি মনে করি না যে কেউ ওয়ার্কস্টেশননাম থেকে আইপি ঠিকানা পেতে পারে?
অ্যালান
স্পষ্টতই সেই নামটির সাথে একটি ওয়ার্কস্টেশন রয়েছে - যতক্ষণ না সার্ভারটি ইন্টারনেট-মুখী থাকে। এই উত্তরটি দেখুন: serverfault.com/a/403638/20701
গ্রেগ Askew
আমার সমস্ত সার্ভারগুলি ইন্টারনেট মুখী, সুতরাং উপরে উল্লিখিত হিসাবে আরডিপি এনটিএলএমভি 2 দিয়ে সুরক্ষিত। এছাড়াও আমরা ব্যর্থ আরডিপি আক্রমণগুলির পরে আইপি ঠিকানাগুলি অবরুদ্ধ দেখতে পাচ্ছি, তবে ইভেন্টভিউয়ারের কয়েকটি লগের আইপি ঠিকানা নেই এবং এর সাথে সম্পর্কিত নয়। আমরা যে আইডিগুলি ব্যবহার করছি তা অন্য 4625 টির চেয়ে আলাদাভাবে আরডিপি আক্রমণ ব্যর্থ করে
অ্যালান
উত্তরটি এখানে রয়েছে: সার্ভারফল্ট.com
a

উত্তর:

8

ব্যর্থ আরডিপি প্রচেষ্টার জন্য আইপি ঠিকানা এখানে এনএলএ সক্ষম থাকলেও লগইন করা হয়েছে (কোনও টুইটের প্রয়োজন নেই) (সার্ভার 2012 আর 2 এ পরীক্ষিত, অন্যান্য সংস্করণ সম্পর্কে নিশ্চিত নয়)

অ্যাপ্লিকেশন এবং পরিষেবাদি লগগুলি> মাইক্রোসফ্ট-উইন্ডোজ-রিমোটডেস্কটপ সার্ভিসেস-আরডিপিওরেস / অপারেশনাল (ইভেন্ট আইডি 140)

লগড পাঠ্য উদাহরণ:

108.166.xxx.xxx এর আইপি ঠিকানা সহ ক্লায়েন্ট কম্পিউটারের একটি সংযোগ ব্যর্থ হয়েছে কারণ ব্যবহারকারীর নাম বা পাসওয়ার্ড সঠিক নয়।

এক্সএমএল:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS" Guid="{1139C61B-B549-4251-8ED3-27250A1EDEC8}" /> 
  <EventID>140</EventID> 
  <Version>0</Version> 
  <Level>3</Level> 
  <Task>4</Task> 
  <Opcode>14</Opcode> 
  <Keywords>0x4000000000000000</Keywords> 
  <TimeCreated SystemTime="2016-11-13T11:52:25.314996400Z" /> 
  <EventRecordID>1683867</EventRecordID> 
  <Correlation ActivityID="{F4204608-FB58-4924-A3D9-B8A1B0870000}" /> 
  <Execution ProcessID="2920" ThreadID="4104" /> 
  <Channel>Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational</Channel> 
  <Computer>SERVER</Computer> 
  <Security UserID="S-1-5-20" /> 
  </System>
- <EventData>
  <Data Name="IPString">108.166.xxx.xxx</Data> 
  </EventData>
  </Event>
sheriff6241
সূত্র
আপনাকে ধন্যবাদ, এবং আমি নিশ্চিত করতে পারি যে একই লগটি এনডিএ - ইভেন্ট আইডি 131 ব্যবহার করে আরডিপি-র মাধ্যমে সফল লগনের ইভেন্টগুলির আইপিগুলিও ক্যাপচার করে তুলেছে -
ট্রিক্স
আরগ, কোন ব্যবহারকারীর নাম ???
jjxtra
3

এটি টিএলএস / এসএসএল ব্যবহার করে 4625 ইভেন্ট এবং আরডিপি সংযোগের সাথে একটি সীমাবদ্ধতা। দূরবর্তী ডেস্কটপ সার্ভার সেটিংসের জন্য আপনাকে আরডিপি এনক্রিপশন ব্যবহার করতে হবে, বা একটি ভাল আইডিএস পণ্য পেতে হবে।

গ্রেগ অ্যাস্কিউ
সূত্র
আমরা ইতিমধ্যে এনক্রিপশন সহ আরডিপি ব্যবহার করছি, আমরা ইতিমধ্যে সাইবারার্মস এবং সিসপিস চেষ্টা করেছি, সেখানে আর কী আছে?
অ্যালান
2

আপনার বিল্ট-ইন উইন্ডোজ ফায়ারওয়াল এবং এর লগিং সেটিংস ব্যবহার করা উচিত। লগগুলি আপনাকে সমস্ত আগত সংযোগের চেষ্টাগুলির আইপি ঠিকানাগুলি বলবে। যেহেতু আপনি উল্লেখ করেছেন যে আপনার সমস্ত সার্ভারগুলি ইন্টারনেট-মুখী, তাই সত্যিকারের গভীরতার কৌশল হিসাবে আপনার প্রতিরক্ষা অংশ হিসাবে উইন্ডোজ ফায়ারওয়ালটি ব্যবহার না করার জন্য আসলেই কোনও অজুহাত নেই । আমি বিশেষত এনএলএ (নেটওয়ার্ক-স্তরের প্রমাণীকরণ) বন্ধ না করার পরামর্শ দেব কারণ অতীতে আরডিপির উপর হামলার অনেকগুলি LAতিহাসিকভাবে এনএলএর ব্যবহার দ্বারা হ্রাস পেয়েছে এবং কেবল ক্ষতিগ্রস্থ আরডিপি সেশন হোস্ট কেবল ক্লাসিক আরডিপি এনক্রিপশন চালাচ্ছে।

উইন্ডোজ ফায়ারওয়াল লগিং

রায়ান রিস
সূত্র
উইন্ডোজ ফায়ারওয়াল লগিংয়ের সাথে চলছে, আরডিপি কেবলমাত্র নেটওয়ার্ক স্তরের প্রমাণীকরণের জন্য অনুমোদিত, তাই আপনি ইতিমধ্যে যা উল্লেখ করেছেন আমরা তা ইতিমধ্যে করছি, এটি মোটেই সহায়ক নয়
অ্যালান
লগগুলি আপনাকে বলবে যে কে 3389 বন্দরটিতে সংযুক্ত হচ্ছে এবং 100% সময়ের মধ্যে কোন আইপি ঠিকানাটি তারা আসছে। তারপরে আপনি সেই আইপি ঠিকানাটি উইন্ডোজ ফায়ারওয়ালের একটি কালো তালিকায় যুক্ত করতে পারেন। তুমি আর কি চাও?
রায়ান রেইস
এছাড়াও @ ইভানএন্ডারসন থেকে ts_ block দেখুন: github.com/EvanAnderson/ts_ block
রায়ান
লগগুলি চেক করার পরে আমি এখন পর্যন্ত বন্দরে কোনও আইপি পাইনি যা আমি ব্লক করতে পারি, তবে আমাদের আইপি অ্যাড্রেসগুলি অন্যান্য আইসিপি পোর্টগুলিতে আমাদের সার্ভারগুলি অ্যাক্সেস করার চেষ্টা করছে, যেমন এই আইপি: fe80 :: 586d: 5f1f: 165: ac2d আমি পেয়েছি 5355 পোর্ট সহ। আমি মনে করি না এই 4625 ইভেন্টগুলি আরডিপি অনুরোধ থেকে উত্পন্ন হয়েছে, এসএসএইচ বা অন্য কোনও প্রচেষ্টা হতে পারে।
অ্যালান
আমরা এখন ডিফল্ট বন্দরগুলি পরিবর্তন করেছি এবং অপ্রয়োজনীয় বন্দরগুলি অবরুদ্ধ করেছি
অ্যালান
1

এই ইভেন্টটি সাধারণত একটি বাসি লুকানো শংসাপত্রের কারণে ঘটে। ত্রুটি প্রদান করে সিস্টেম থেকে এটি ব্যবহার করে দেখুন:

কমান্ড প্রম্পট রান psexec -i -s -d cmd.exe
থেকে : নতুন সিএমডি উইন্ডো রান থেকে: rundll32 keymgr.dll,KRShowKeyMgr

সঞ্চিত ব্যবহারকারীর নাম এবং পাসওয়ার্ডের তালিকায় উপস্থিত যে কোনও আইটেম সরান। কম্পিউটার পুনরায় চালু করুন।

zea62
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.