Windows 过滤平台过滤器已更改 - 文件和打印机共享

Question

我的 Windows 2008 R2 服务器收到了大量的登录尝试。
我猜有人在进行蛮力攻击。
有趣的是，我们的 MySQL 配置文件昨晚被删除了，所以他们一定是通过某种方式进入的。但与此同时，我的事件日志中充满了这些消息：

A Windows Filtering Platform filter has been changed.

Subject:
    Security ID:        LOCAL SERVICE
    Account Name:       NT AUTHORITY\LOCAL SERVICE

Process Information:
    Process ID: 1184

Provider Information:
    ID:     {decc16ca-3f33-4346-be1e-8fb4ae0f3d62}
    Name:       Microsoft Corporation

Change Information:
    Change Type:    Delete

Filter Information:
    ID:     {3798315c-c633-46ee-8421-89dab23673e9}
    Name:       File and Printer Sharing (Spooler Service - RPC-EPMAP)
    Type:       Not persistent
    Run-Time ID:    3444308

Layer Information:
    ID:     {e1cd9fe7-f4b5-4273-96c0-592e487b8650}
    Name:       ALE Receive/Accept v4 Layer
    Run-Time ID:    44

Callout Information:
    ID:     {00000000-0000-0000-0000-000000000000}
    Name:       -

Additional Information:
    Weight: 10378404878664860156    
    Conditions: 
    Condition ID:   {af043a0a-b34d-4f86-979c-c90371af6e66}
    Match value:    Equal to
    Condition value:    
O:SYG:SYD:(A;;CCRC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080)


    Condition ID:   {0c1ba1af-5765-453f-af22-a8f791ac775b}
    Match value:    Equal to
    Condition value:    0x0087

    Condition ID:   {46ea1551-2255-492b-8019-aabeee349f40}
    Match value:    Equal to
    Condition value:    0x00000003

    Condition ID:   {ab3033c9-c0e3-4759-937d-5758c65d4ae3}
    Match value:    Equal to
    Condition value:    0x00000003

    Condition ID:   {3971ef2b-623e-4f9a-8cb1-6e79b806b9a7}
    Match value:    Equal to
    Condition value:    0x06

    Filter Action:  Permit

不幸的是，我的托管公司反应迟钝，也不是很有帮助。他们唯一的反应是更改我的密码... 有谁知道它们是什么意思以及它们来自哪里？我想这是Windows防火墙规则。但这是正常的还是意味着什么？

Answer 1

你的问题中有很多不同的事情。我将分别处理它们。

我的 Windows Server 2008 R2 服务器收到了大量的登录尝试。我猜有人在进行蛮力攻击。

作为一般建议：不要猜测。知道。计算机系统极其复杂。一个好的系统管理员应该首先识别所有的症状，测试可重复性，收集证据，然后对潜在的问题做出合理的假设。Guess and Check 方法只有在您非常幸运时才有效。

您应该查看您的事件日志并将登录尝试与您的上游提供商的 IDS 信息相关联。也许是暴力登录攻击，也许是服务帐户的密码被更改了，也许是应用程序不再具有适当的权限？这可能是很多事情。

最后也是最重要的 - 为什么您的服务器完全暴露在 Big Bad Internet 中？你真的应该把它放在防火墙或 VPN 后面。

有趣的是，我们的 MySQL 配置文件昨晚被删除了，所以他们一定是通过某种方式进入的。

这有点好笑，但再说一次，你确定这是入侵者吗？也许你不小心删除了它？再次，不要猜测。知道。您是否正在审核文件访问？所有权变更？您至少应该能够更好地了解您的配置文件突然更改或丢失的内容。

Windows 过滤平台

查看 MSDN 以获取有关Windows 过滤平台的信息：

WFP 提供 API，以便您可以参与在 TCP/IP 协议栈的多个层发生的过滤决策。WFP 还集成并支持下一代防火墙功能，例如基于应用程序使用 Windows Sockets API 的身份验证通信和动态防火墙配置。此功能也称为基于应用程序的策略。

我相信您发布的示例是删除文件和打印机共享（后台打印程序服务 - RPC-EPMAP）的 PERMIT 过滤器。如果你多读一点，你应该能够确认这一点。我认为此特定事件与您可能存在的安全问题无关（这并不意味着其他 WFP 事件与此无关！）。

你的服务器被入侵了吗？

在您敲响警报之前，做一些调查，使用您的支持选项，并确认您的服务器确实已被入侵。阅读有关该主题的规范问题以帮助您完成整个过程：如何处理受感染的服务器？. 祝你好运！