我的服务器貌遭攻击了,谁帮我看下!!
我在事件查看器中看到几乎每隔几秒就会有一个分类为“登录/注销”的“审核失败”事件,详情如下:
事件类型: 审核失败
事件来源: Security
事件种类: 登录/注销
事件 ID: 529
日期: 2011-12-31
事件: 11:21:31
用户: NT AUTHORITY\SYSTEM
计算机: GZWD10071
描述:
登录失败:
原因: 用户名未知或密码错误
用户名: Administrator
域: GZWD10071
登录类型: 10
登录进程: User32
身份验证数据包: Negotiate
工作站名称: GZWD10071
调用方用户名: GZWD10071$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
调用方进程 ID: 460
传递服务: -
源网络地址: 219.140.174.62
源端口: 3312
请问这是遭到了什么攻击?该怎么防止这攻击?请高手指点~
------解决方案-------------------- 从登录用户名来看,他使用Administrator,很有可能是想暴力破解你的管理员密码。但如果你的管理员帐户不是Administrator的话,这个情况还是安全的,他肯定破不下来。
这个计录几乎每隔几秒就会有一个,那对方肯定是一台机器,在用某种算法一个一个地试你的密码,你最好设置服务器不给这个IP进行服务,并且保证Administrator不是你的任何帐户。
------解决方案--------------------汗啊,不知道哪个菜鸟在用工具扫描你的服务器...
这一点威胁性都没有,楼主你是不是太不淡定了?
这都觉得急了,那你以后遇上真正的黑客你不是要吓死...
你甚至还可以在服务器上设置追踪策略,追踪请求信息来源.那个菜鸟肯定没设跳板.
------解决方案--------------------问题不大,把Administrator改名。或者只要你的密码足够复杂,由他去吧
------解决方案--------------------密码设置复杂点,没事的。要么 用户名改了,淡定的事情。别搞那么复杂!
------解决方案--------------------有学习了一招啊 呵呵 楼主要淡定啊