Мой сервер Windows 2008 R2 подвергается множеству попыток входа в систему.
Я предполагаю, что кто-то проводит атаку грубой силы.
Довольно забавно, что наш файл конфигурации MySQL был удален вчера вечером, так что они, должно быть, каким-то образом попали внутрь. Но в то же время мой журнал событий полностью состоит из следующих сообщений:
A Windows Filtering Platform filter has been changed.
Subject:
Security ID: LOCAL SERVICE
Account Name: NT AUTHORITY\LOCAL SERVICE
Process Information:
Process ID: 1184
Provider Information:
ID: {decc16ca-3f33-4346-be1e-8fb4ae0f3d62}
Name: Microsoft Corporation
Change Information:
Change Type: Delete
Filter Information:
ID: {3798315c-c633-46ee-8421-89dab23673e9}
Name: File and Printer Sharing (Spooler Service - RPC-EPMAP)
Type: Not persistent
Run-Time ID: 3444308
Layer Information:
ID: {e1cd9fe7-f4b5-4273-96c0-592e487b8650}
Name: ALE Receive/Accept v4 Layer
Run-Time ID: 44
Callout Information:
ID: {00000000-0000-0000-0000-000000000000}
Name: -
Additional Information:
Weight: 10378404878664860156
Conditions:
Condition ID: {af043a0a-b34d-4f86-979c-c90371af6e66}
Match value: Equal to
Condition value:
O:SYG:SYD:(A;;CCRC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080)
Condition ID: {0c1ba1af-5765-453f-af22-a8f791ac775b}
Match value: Equal to
Condition value: 0x0087
Condition ID: {46ea1551-2255-492b-8019-aabeee349f40}
Match value: Equal to
Condition value: 0x00000003
Condition ID: {ab3033c9-c0e3-4759-937d-5758c65d4ae3}
Match value: Equal to
Condition value: 0x00000003
Condition ID: {3971ef2b-623e-4f9a-8cb1-6e79b806b9a7}
Match value: Equal to
Condition value: 0x06
Filter Action: Permit
Моя хостинговая компания, к сожалению, очень не отвечает и не очень помогает. Их единственный ответ - сменить мой пароль ... Кто-нибудь знает, что они означают и откуда они? Я думаю, это правила брандмауэра Windows. Но это нормально или что это значит?
В вашем вопросе происходит куча разных вещей. Я обращусь к ним отдельно.
Мой сервер Windows Server 2008 R2 получает множество попыток входа в систему. Я предполагаю, что кто-то проводит атаку грубой силы.
Общий совет: не гадайте. Знаю. Компьютерные системы чрезвычайно сложны. Хороший системный администратор должен начать с выявления всех симптомов, проверки повторяемости, сбора доказательств и затем сделать разумные предположения о том, в чем заключается основная проблема. Метод «Угадай и проверь» будет работать, только если вам очень повезет.
Вам следует просмотреть журнал событий и сопоставить попытки входа в систему с информацией IDS вашего вышестоящего провайдера. Может быть, это атака грубой силы при входе в систему, может быть, это учетная запись службы, пароль которой был изменен, может быть, это приложение, у которого больше нет соответствующих прав? Это могло быть много чего.
И наконец, самое главное - почему ваш сервер вообще подвержен влиянию большого плохого Интернета? Вы действительно он должен быть за брандмауэром или VPN.
Довольно забавно, что наш файл конфигурации MySQL был удален вчера вечером, так что они, должно быть, каким-то образом проникли.
Это немного забавно, но опять же, вы уверены, что это был злоумышленник? Может случайно удалили? Опять же, не угадай. Знаю. Вы проверяете доступ к файлам? Смена владельца? Вы должны иметь возможность хотя бы лучше понять, какой файл конфигурации был внезапно изменен или пропущен.
Платформа фильтрации Windows
Посетите MSDN для получения информации о Платформа фильтрации Windows:
WFP предоставляет API-интерфейсы, чтобы вы могли участвовать в принятии решений о фильтрации, которые происходят на нескольких уровнях стека протоколов TCP / IP. WFP также интегрирует и обеспечивает поддержку функций межсетевого экрана нового поколения, таких как аутентифицированная связь и динамическая конфигурация межсетевого экрана, основанная на использовании приложением Windows Sockets API. Эта возможность также известна как политика на основе приложений.
Я считаю, что опубликованный вами пример удаление фильтр PERMIT для общего доступа к файлам и принтерам (служба диспетчера очереди печати - RPC-EPMAP). Если вы прочтете еще немного, то сможете это подтвердить. Я не думаю, что это конкретное событие связано с вашими возможными проблемами безопасности (что не означает, что другие события WFP не связаны!).
Ваш сервер скомпрометирован?
Прежде чем подавать сигнал тревоги, проведите небольшое расследование, задействуйте варианты поддержки и убедитесь, что на вашем сервере на самом деле был скомпрометирован. Прочтите канонический вопрос по теме, чтобы помочь вам в этом процессе: Как мне поступить с взломанным сервером?. Удачи!