У нас возникли проблемы с нашим выделенным сервером, где он довольно часто зависает (иногда через несколько часов после отключения питания).
Я посмотрел в средстве просмотра событий и в разделе СИСТЕМА были записаны тысячи событий. Наиболее распространенное событие - ID: 1012 «Удаленный сеанс от имени клиента a превысил максимально допустимое количество неудачных попыток входа в систему. Сеанс был принудительно завершен».
Я не очень хорошо знаком со всей терминологией, но означает ли это, что хакеры пытались войти в систему?
Это событие появляется каждые 7 секунд в течение нескольких часов, а затем есть период, когда оно прекращается, но через несколько часов оно начинается снова.
Еще одно преобладающее событие - ID: 100. «серверу не удалось войти в учетную запись Windows NT« АДМИНИСТРАТОР »из-за следующей ошибки: Ошибка входа: неизвестное имя пользователя или неверный пароль»
Я вижу их в списке через несколько секунд друг за другом.
Это еще одна проблема взлома?
Используют ли эти события оперативную память моего сервера, и в конечном итоге сервер не может работать, что приводит к зависанию?
Кстати, у нас Windows 2003.
* Помните, я не слишком хорошо знаком со всей терминологией, поэтому, если бы вы могли объяснить в терминах непрофессионала, я был бы признателен.
Похоже, что удаленный рабочий стол доступен в Интернете, и вы видите результаты неудачных попыток входа в систему.
Я бы посоветовал попросить кого-нибудь с опытом работы в сети взглянуть на вашу установку. Если ваш сервер подключен к Интернету без включенного брандмауэра и брандмауэра периметра, это рецепт катастрофы.
Трудно сказать наверняка, не зная спецификаций сервера, но чрезмерные попытки подключения или сеансы могут разрушить сервер, да. И это действительно похоже на то, что кто-то запускает атаку грубой силы на ваш сервер (очевидно, со сценарием).
Я бы посоветовал:
1) Изменение имени пользователя учетной записи администратора на значение, отличное от значения по умолчанию. (Например, вы можете использовать изобретателя Linux «Линус Торвальдс» в качестве имени локального администратора.) Выбор чего-то необычного для имени пользователя в основном устраняет шансы злоумышленника угадать путь к административному доступу.
2) Узнайте, какие IP-адреса отправляют эти запросы (должны быть в той же записи журнала, что и сбой безопасности), и заблокируйте их. Я забыл, как это сделать с брандмауэром Windows Server 2003 / XP, но посмотрите руководство Technet. (http://technet.microsoft.com/en-us/library/cc778148%28v=ws.10%29.aspxЭто должно помочь снизить нагрузку на сервер и предотвратить сбой вашего сервера.
3) Поставьте перед сервером [аппаратный] брандмауэр и кого-нибудь, кто знает, как его правильно настроить. Вы уже видели, как кто-то пытается получить доступ к вашему серверу через RDP каждые 7 секунд, и количество атак по более распространенным веб-протоколам (http, ftp, ssh и т. Д.), Вероятно, будет намного выше. . Защита RDP не принесет вам никакой пользы, если вы уязвимы для другого протокола.