Estou recebendo algumas centenas de tentativas de logon com falha a cada hora em meu servidor da Web em execução no Windows. Posso ver isso porque habilitei a auditoria de tentativas de logon com falha .
No Windows Event Viewer, as entradas de log não mostram um endereço IP que posso bloquear:
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: administrator
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC000006A
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: -
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
Como posso descobrir qual endereço IP está tentando invadir meu servidor? Como posso bloquear essas tentativas de logon?
Se você tiver acesso de área de trabalho remota ao seu servidor, poderá usar uma ferramenta como o Wireshark para inspecionar o tráfego de rede nessa máquina e rastrear os dados relevantes. Para esta resposta, você precisará de acesso à GUI.
Para se preparar, no Visualizador de eventos, abra a seção "Falha de auditoria" e clique duas vezes na linha com o ID de evento 4265. Isso o levará à página "Eventos da página de resumo". À medida que novas tentativas de login com falha acontecerem, ele mostrará algo como "Novos eventos disponíveis" - clique em "Atualizar" no painel à direita para limpar esse aviso.
Em seguida, inicie o Wireshark. Usuários mais sofisticados podem desejar escrever um filtro de captura; Eu pulo direto. O botão de barbatana de tubarão azul começa a capturar pacotes.
Para manter a quantidade de informações exibidas baixa, você pode inserir isso no "Filtro de exibição" do Wireshark:
onde
a.b.c.dé o endereço IP do computador que está sendo atacado ew.x.y.zé o endereço IP do computador do qual você está se conectando remotamente.Quando o Visualizador de eventos mostrar "Novos eventos disponíveis", clique no botão Parar no Wireshark. Isso ajuda a restringir o que poderia ser uma quantidade enorme de dados para filtrar. Você sempre pode interromper a captura, não salvá-la e iniciar uma nova captura se o tempo não funcionar.
Você está procurando uma linha no Wireshark como esta, onde o endereço IP de origem é algo que você não espera e/ou uma informação que diz algo como "Client Hello":
Selecione essa linha e procure no painel abaixo dela para ver mais informações sobre esse quadro, por exemplo (com as seções recolhidas):
Observe a
Dst Port: 5986parte. Uma busca rápida pelo que usa a porta 5986 nos diz que o invasor está tentando entrar no WinRM 2.0 por HTTPS (WinRM = Gerenciamento Remoto do Windows, até onde posso imaginar). Uma olhada em um serviço como o AbuseIPDB pode confirmar fontes de ataques já conhecidas. Já existe uma regra "Firewall do Windows com Segurança Avançada" para isso (chamada "WinRM HTTPS"), para que você possa fazer as alterações apropriadas para proteger o servidor.Neste ponto, você pode querer tornar o filtro de exibição do Wireshark mais específico, para poder adicionar a porta a ele:
e ver o atacante falhando.
O ponto importante é proteger o acesso ao WinRM , lembrando que existem usos legítimos para ele, então você não deseja bloqueá-los.