Tausende von fehlgeschlagenen Anmeldungen [Code 4625]

645
modsfabio

Ich bekomme viele fehlgeschlagene Anmeldungen auf meinem Windows-Stammserver.

Ich habe den RDP-Port bereits blockiert, aber in der Ereignisanzeige sehe ich immer noch viele fehlerhafte Anmeldungen. Sie sehen so aus:

Fehler beim Anmelden eines Kontos.  Antragsteller: Sicherheits-ID: NULL SID Kontoname: - Kontodomäne: - Anmelde-ID: 0x0  Anmeldetyp: 3  Konto, für das die Anmeldung fehlgeschlagen ist: Sicherheits-ID: NULL SID Kontoname: Administrator Kontodomäne: JSJFIDC  Fehlerinformationen: Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort. Status: 0xc000006d Unterstatus:: 0xc000006a  Prozessinformationen: Aufrufprozess-ID: 0x0 Aufrufprozessname: -  Netzwerkinformationen: Arbeitsstationsname: JSJFIDC Quellnetzwerkadresse: 222.186.21.162 Quellport: 3074  Detaillierte Authentifizierungsinformationen: Anmeldeprozess: NtLmSsp  Authentifizierungspaket: NTLM Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0  Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.  Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".  Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).  Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.  Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.  Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

Das Problem ist, dass es wie ein Brute-Force-Angriff aussieht. Die Quell-IP (in diesem Fall 222.186.21.162) ist jedes Mal anders und ich bekomme fast jede Sekunde eine fehlerhafte Anmeldung.

Wichtig ist dieser Teil:

 Anmeldeprozess: NtLmSsp  Authentifizierungspaket: NTLM ...... Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.

Es sagt 

 Authentication Process: NtLmSsp  Auth Packet: NTLM ...... Problem: Unknown username or password

Ich denke, es hat etwas mit NTLM zu tun.

Benötige ich NTLM? Oder gibt es eine Möglichkeit, es zu blockieren?

0
Hallo und herzlich willkommen bei SuperUser! Leider sprechen einige Leute (ich eingeschlossen) nicht Deutsch, was die Diagnose Ihres Problems erschwert. Können Sie Ihre Protokollausgabe kommentieren, insbesondere die Teile, die auf ein Problem hinweisen? Nathan.Eilisha Shiraini vor 6 Jahren 1
Tut mir leid, ich habe den wichtigen Teil übersetzt :) modsfabio vor 6 Jahren 0
Also hat sich jemand versucht, sich bei Ihrem Server anzumelden, konnte es aber nicht. Es gibt wirklich kein Problem. Wenn es Sie so sehr ärgert, verschieben Sie den RDP-Dienst an einen nicht standardmäßigen Port. Der Hochstapler vor 6 Jahren 0
RDP ist bereits gesperrt. Es ist etwas anderes ... `NTLM` modsfabio vor 6 Jahren 0
NTLM ist einfach eine Authentifizierungsmethode und bezieht sich nicht auf einen bestimmten Überwachungsdienst. Prüfen Sie zuerst, welche anderen Ports geöffnet sind. In der Tat sollten Sie eine Standard-Block-Policy verwenden und nur die Ports öffnen, von denen Sie wissen, dass Sie sie benötigen. Bob vor 6 Jahren 0
Gibt es eine Möglichkeit, den Dienst herauszufinden, bei dem die Anmeldung fehlschlägt? Die Nachricht sagt "AuthProcess: NtLmSsp" modsfabio vor 6 Jahren 0
Wenn dies eine Maschine ist, die mit dem Internet verbunden ist, sollte sie alle Ports mit Firewall versehen, außer den Ports, die speziell geöffnet sein müssen. Sie sollten auf keinen Fall einen zufälligen Dienst haben, der Anmeldeversuche zulässt, ohne dass dies beabsichtigt ist. Den Zugriff standardmäßig verweigern. Mokubai vor 6 Jahren 0
Stellen Sie außerdem sicher, dass auf Ihrem Windows-Betriebssystem alle aktuellen Windows-Updates installiert sind, um bekannte Sicherheitslücken zu beheben. Wenn möglich, sollten Sie zusätzlich zu den Ports nur die Ports zulassen, auf die die Dienste zugreifen, auf die über das Internet zugegriffen werden muss Daher können nur die spezifischen öffentlichen IP-Adressen, auf die Sie zugreifen sollten, dies tun. Wenn Sie beispielsweise nur von Amerika darauf zugreifen, können Sie Regeln einrichten, um nur in Amerika registrierte IP-Bereiche zuzulassen. Ich nehme an, oder Sie blockieren Bereiche explizit von fremden Ländern. Es gibt viele Möglichkeiten, dies zu blockieren. Pimp Juice IT vor 6 Jahren 0

1 Antwort auf die Frage

3
Blerg

Alles und alles, was für das Internet offen ist, wird ständig angegriffen. Ein Windows-System direkt im Internet ist eine schreckliche Idee, und Sie sollten so viel wie möglich hinter die Firewall ziehen. Wenn jemand Zugriff auf diesen Server benötigt, installieren Sie eine VPN-Software und gewähren Sie ihm Zugriff darauf (stellen Sie außerdem sicher, dass die Kennwörter sehr stark sind und verwenden Sie, falls möglich, Schlüssel). und wenn Sie können, trennen Sie auch dieses System von Ihrem Netzwerk. Das VPN begrenzt die potenziellen Angriffsvektoren. Es kann ein Fehler sein, da es sich um einen einzigen Fehlerpunkt handelt. Es kann jedoch gehärtet werden, um die Gefahr von Verletzungen zu verringern.

Um auf Ihre Frage zurückzukommen, ist der NTLM der LAN Manager. Auf diese Weise führt Windows die Authentifizierung für verschiedene Dinge durch. Er kann nicht deaktiviert werden, ohne viele Dinge zu beschädigen. Eine Reihe von fehlgeschlagenen Anmeldeversuchen ständig zu sehen, könnte auf jeden Fall ein Zeichen für einen Brute-Force-Angriff sein. Malware wie WannaCry wird verbreitet, indem Windows-Dienste direkt im Internet bereitgestellt werden (SMBv1 oder Windows File Sharing). Schließen Sie diese Lücken auf und lassen Sie jeden, der angibt, dass er nicht mit einem VPN-Schritt belästigt werden möchte, nach Malware wie WannaCry fragen.

Tatsächlich wurde der "Ransomworm", der die Welt im Sturm erobert hatte, nicht über eine E-Mail-Malspam-Kampagne verbreitet. Unsere Forschung zeigt vielmehr, dass dieser böse Wurm über eine Operation verbreitet wurde, die gefährdete öffentliche SMB-Ports jagt und dann den angeblichen von der NSA durchgesickerten EternalBlue-Exploit verwendet, um in das Netzwerk zu gelangen, und dann den (ebenfalls NSA-mutmaßlichen) DoublePulsar-Exploit zur Etablierung von Dauerhaftigkeit und erlaubt die Installation der WannaCry Ransomware.

Wie breitete sich der WannaCry-Ransomworm aus? - Malwarebytes Labs | Malwarebytes Labs

Verwandte Probleme