日期:2014-05-17  浏览次数:20714 次

关于win2003日志、暴力破解的问题
这几天查看了日志发现服务器有被暴力攻破的迹象,但又不很肯定,贴上来请教下大家:
大致情况是每间隔一段时间(1秒~1分钟不等)就有一条关于审核登陆状态的日志,基本上是两条日志“循环出现”的:

日志1:
尝试登录的用户:  MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 登录帐户:   YuzhuWS
 源工作站:  YUZHU
 错误代码:  0xC000006A


有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

日志2:
 登录失败:
  原因: 用户名未知或密码错误
  用户名: YuzhuWS
  域: YUZHU
  登录类型: 2
  登录进程: Advapi  
  身份验证数据包: Negotiate
  工作站名称: YUZHU
  调用方用户名: YuzhuWS
  调用方域: YUZHU
  调用方登录 ID: (0x0,0x130BA2)
  调用方进程 ID:  3452
  传递服务:  -
  源网络地址: -
  源端口: -


有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

另外还有一个规律就是凌晨3时~4时左右,是审核失败和审核成功的“转折点”...
转折点前都是“审核失败”,而再往后就基本上全都是"审核成功",其中转折点后的前几条日志是“更改域策略”之类的,如下:

更改了域策略:锁定策略 modified
  域名: YUZHU
  域 ID: YUZHU\
  调用方用户名: YuzhuWS
  调用方所属域: YUZHU
  调用方登录 ID: (0x0,0x130BA2)
  特权: -
 更改的属性:
  最小密码存留期: -
  最大密码存留期: -
  强制注销: -
  锁定线程: 0
  锁定观察窗口: 0
  锁定持续时间: 0
  密码属性: -
  最小密码长度: -
  密码历史长度: -
  计算机帐户配额 : -
    混合域模式: -
  域行为版本: -
  OEM 信息: -


有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

然后就是把我的所有用户(包括超级用户和普通用户、IIS匿名用户、被禁用的用户等)都操作了一遍,如IUser_Server如下:
更改了用户帐户:
  目标帐户名称: IUSR_SERVER
  目标域: YUZHU
  目标帐户 ID: YUZHU\IUSR_SERVER
  调用方用户名: YuzhuWS
  调用方所属域: YUZHU
  调用方登录 ID: (0x0,0x130BA2)
  特权: -
 更改的属性:
  SAM 帐户名称: IUSR_SERVER
  显示名称: Internet 来宾帐户
  用户主要名称: -
  主目录: <未设置值> 
  主驱动器: <未设置值> 
  脚本路径: <未设置值> 
  配置文件路径: <未设置值> 
  用户工作站: <未设置值> 
  上一次设置的密码: 2008-6-16 9:32:22
  帐户过期: <从不> 
  主要组 ID: 513
  AllowedToDelegateTo: -
  旧 UAC 值: 0xB0EF0
  新 UAC 值: 0xB0EF0
  用户帐户控制: -
  用户参数: <值已更改,但未显示> 
  Sid 历史: -
  登录时间(以小时计): <值已更改,但未显示> 


有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

大体上发现的是这些,可能说得比较乱,希望有经验的朋友指点迷津,谢谢!感激!
最后附上“转折点”图:

------解决方案--------------------
自己顶一个...
------解决方案--------------------
贴了快一年都没人理,杯具啊...
------解决方案--------------------
虽然我不知道解决方案!但是我顶一下帮LZ