Met*_*ate 2 security windows-server-2003 virtuozzo
我们有一次来自俄罗斯的成功黑客尝试,我们的一台服务器被用作进一步攻击的集结地,实际上他们设法以某种方式获得了一个名为“服务”的 Windows 帐户的访问权限。我将该服务器脱机,因为它是我们的 SMTP 服务器并且不再需要它(现在已经安装了第 3 方系统)。
现在我们的一些其他服务器在事件查看器中进行了这些匿名登录尝试,这些 IP 地址来自中国、罗马尼亚、意大利(我猜那里也有一些欧洲)......我不知道这些人想要什么,但是他们只是继续攻击服务器。我怎样才能防止这种情况?
我不希望我们的服务器再次受到威胁,上次我们的主机将我们的整个硬件节点从网络中移除,因为它正在攻击其他系统,导致我们的服务中断,这真的很糟糕。
如何防止这些奇怪的 IP 地址尝试访问我的服务器?
它们是在 Parallels Virtuozzo 硬件节点上运行的 Windows Server 2003 R2 Enterprise“容器”(虚拟机),如果这有所不同的话。我当然可以单独配置每台机器,就好像它是自己的服务器一样......
更新:新的登录尝试仍在发生,现在这些尝试追溯到乌克兰...... WTF.. 这是事件:
Successful Network Logon:
User Name:
Domain:
Logon ID: (0x0,0xB4FEB30C)
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: REANIMAT-328817
Logon GUID: -
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 94.179.189.117
Source Port: 0
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
这是我从法国找到的一个:
Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 540
Date: 1/20/2011
Time: 11:09:50 AM
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: QA
Description:
Successful Network Logon:
User Name:
Domain:
Logon ID: (0x0,0xB35D8539)
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: COMPUTER
Logon GUID: -
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 82.238.39.154
Source Port: 0
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
你真的应该在路由器/防火墙上阻止这些,如果你不需要从任何地方访问这些服务器 - 那么它们应该只接受来自你的 IP 范围的连接。联系您的托管服务提供商,并尽快设置这些规则。