|
|
|
|
Брут РДП и расшифровка журнала вин 2012 | ☑ | ||
|---|---|---|---|---|
|
0
vfrcbv
21.01.20
✎
14:53
|
Добрый день!
Один клиент пожаловался, что в последнее время постоянно отваливаются сеансы рдп. Подключился удаленно, смотрю журнал безопасности там кто-то интенсивно брутит. (Порт рдп не стандартный). Подбирают различные логины и пароли. Но почему-то в журнале не видно ip адрес хакеров. |
|||
|
1
vfrcbv
21.01.20
✎
14:54
|
Учетной записи не удалось выполнить вход в систему.
Субъект: ИД безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Учетная запись, которой не удалось выполнить вход: ИД безопасности: NULL SID Имя учетной записи: SUPERUSER Домен учетной записи: Сведения об ошибке: Причина ошибки: Неизвестное имя пользователя или неверный пароль. Состояние: 0xC000006D Подсостояние: 0xC0000064 Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x0 Имя процесса вызывающей стороны: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался. Сетевой адрес источника пуст. Как можно посмотреть ip хакеров? |
|||
|
2
pechkin
21.01.20
✎
14:56
|
думаешь адрес тебе что-то даст?
|
|||
|
3
vfrcbv
21.01.20
✎
14:57
|
(2) узнать локально кто-то подбирает или через инет. ну и заблокировать конечно.
|
|||
|
4
MM
21.01.20
✎
15:14
|
На PowerShell попробуй:
$allRDPevents = Get-WinEvent -FilterHashtable @{Logname = "Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational" ; ID = 1149,1150,1148} -ErrorAction SilentlyContinue $allRDPevents | %{ "{0:MM-dd HH:mm:ss}`t{1}`t{2}`t{3}" -f ($_.Timecreated), $_.Properties[2].Value, $_.Properties[0].Value, ($_.message -split '\n')[0] } |
|||
|
5
Fragster
гуру
21.01.20
✎
15:19
|
закрой порт рдп с открытием через port knocking и забудь.
|
|||
|
6
Salimbek
21.01.20
✎
16:15
|
(0) Если хочешь посмотреть айпишник, то смотри в Журнале: Журналы приложения и служб - Microsoft - Windows - RemoteDesktopServices-RdpCoreTS
|
|||
|
7
Дмитрий
21.01.20
✎
16:21
|
(3) на следующий день продолжат брутфорсить с другого адреса
|
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|