Remove From My Forums

求救：找不到原因的登录攻击，也不知道怎么防范，windows防火墙也设置极致

问题
0

登录进行投票

在安全日志里有频繁不断的登录记录。帐号多数为ADMINISTRATOR，偶尔为ADMIN、TONY、USER7等。360木马扫描、杀毒都发现不了异常。

是网络上的计算机或本地进程？能有办法找到具体的攻击来源吗？

日志名称: Security
来源: Microsoft-Windows-Security-Auditing
日期: 2020-08-19 下午 3:02:03
事件 ID: 4625
任务类别: 登录
级别: 信息
关键字: 审核失败
用户: 暂缺
计算机: USER-04
描述:
帐户登录失败。

主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0

登录类型: 3

登录失败的帐户:
安全 ID: NULL SID
帐户名: ADMINISTRATOR
帐户域:

失败信息:
失败原因: 未知用户名或密码错误。
状态: 0xc000006d
子状态: 0xc0000064

进程信息:
调用方进程 ID: 0x0
调用方进程名: -

网络信息:
工作站名:
源网络地址: -
源端口: -

详细身份验证信息:
登录进程: NtLmSsp
身份验证数据包: NTLM
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

2020年8月19日 9:21

回复

|

引用

答案

1

登录进行投票
尊敬的客户，您好！

您好，好几天没有收到您的回复了。

请问您的问题是否有任何进展？如果您对我的回复有任何疑问，欢迎您随时咨询我们。

如果您还需要进一步帮助，也欢迎您随时咨询我们。

感谢您的理解和支持。

此致，
Daisy Zhou

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已标记为答案山林73 2020年9月2日 4:19
2020年9月1日 6:41

回复

|

引用

版主
0

登录进行投票
我怀疑是直接用程序定制包的，或者是利用rdp本身的远程执行让登录发生在本地。在包里写自己的ip并非强制要求，完全可以乱写，就像是寄信的寄件人可以乱写没人会确认一样，这是一种可能。我之前还被人用389做反射攻击跳板，就是用他攻击的目标ip填在源ip字段然后发给我389，389就会往那个ip发一堆东西，搞得我现在只能用白名单。

还有一种可能的话，不知道你有没有注意过，有时候登录不成功并不会直接在mstsc程序上弹出错误，而是加载出远程会话，在会话里面显示出错误，这时候可以直接在如同本地登录的登录对话框里输账户密码，我猜想这时候登录事件的发起方应该并非远程登录，所以没有ip。我并不清楚该怎么关掉，目前也只是反正他连账户名都填不对所以就放着不管了
- 已标记为答案山林73 2020年10月13日 6:40
2020年9月7日 18:23

回复

|

引用

全部回复

0

登录进行投票

尊敬的客户，您好！

感谢您在我们的TechNet论坛发帖。

为了更好地理解您的问题，请确认以下信息：

1. 请问您只有在这一台电脑上频繁出现4625的事件吗？
2. 请问这台电脑是加域的还是未加域的？
3. 请问您提到的一直尝试登录这台电脑的账号（ADMINISTRATOR，偶尔为ADMIN、TONY、USER7）是本地账号还是域账号？
4. 这些账号是否真的存在本地或者域里？
5. 如果真的存在这些账号，这些账号是否被尝试多次登录失败而锁定了呢？

此致，
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2020年8月20日 2:43

回复

|

引用

版主
0

登录进行投票

谢谢你的关注。

登录事件非常频繁，几秒或几十秒，一天会持续很长时间。

这台计算机没加入域。还有尝试登录的账号都不是本机的账号，大部分为ADMINISTRATOR，偶尔有其他的。

所有这些登录日志看不到来源ip。

这台机器设定账户登录和锁定策略的（120分钟），开放了远程桌面。

2020年8月22日 3:22

回复

|

引用
0

登录进行投票
尊敬的客户，您好！

感谢您的回复。

1. 请问调用进程的名字和来源的IP地址或者计算机的名字都是空白的吗?

Process Information:
Caller Process ID:
Caller Process Name:

Network Information:
Workstation Name:
Source Network Address:
Source Port:

2. 还有在这台机器上检查下面四点或者其他可能记住管理员凭据的应用或者程序：

检查凭据管理看是否有缓存用户的旧的凭据
检查是否有使用错误密码挂载网盘
检查是否有使用该用户错误密码启动服务，运行计划任务等
是否有其他三方程序缓存有用户的错误密码

此致，
Daisy Zhou

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已编辑 Daisy ZhouMicrosoft contingent staff, Moderator 2020年8月24日 7:56
2020年8月24日 7:56

回复

|

引用

版主
0

登录进行投票

尊敬的客户，您好！

下午好！

我主要想请问一下这个问题的进展,如果您对我的回复有任何疑问，欢迎您随时咨询我们。

如果你还需要进一步的帮助，也欢迎您随时咨询。

感谢您的理解和支持。

此致，
Daisy Zhou

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2020年8月26日 7:57

回复

|

引用

版主
0

登录进行投票

进程信息:
调用方进程 ID: 0x0
调用方进程名: -
网络信息:
工作站名:
源网络地址: -
源端口: -

日志中看不出来来源进程或IP。

计划任务已经检查过了。另一方面那些账户绝对不是应该有的。

由于开放远程桌面到公网，怀疑登录攻击来自这方面，但是没有证据说明，也没有阻断手段。

2020年8月26日 15:37

回复

|

引用
1

登录进行投票

尊敬的客户，您好！

请问这些登录失败的登录类型是什么？都是一样的还是不同的登录类型？

例如：
登录类型3 Network 网络登录 - 最常见的是访问网络共享文件夹或打印机。IIS的认证也是Type 3
登录类型10 RemoteInteractive 远程登录 -- 比如Terminal service或者RDP方式。

然后您可以尝试抓网络包看看呢.

关于如何捕获网络包：
1.在以下连接中下载并安装network monitor工具。
https://www.microsoft.com/zh-cn/download/details.aspx?id=4865
2.以管理员身份运行network monitor工具。
3.在左下方，选择要捕获的一个或多个NIC。
4.运行命令：ipconfig / flushdns清理DNS缓存，并运行nbtstat -RR清理NETBIOS缓存，运行klist purge命令。
5.然后在问题再次发生时开始捕获。收集必要的信息后，单击“停止”。
6.保存捕获的文件。
7.检查网络包中的流量，源IP和目的IP之间的通信。

此致，
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2020年8月28日 8:42

回复

|

引用

版主
1

登录进行投票
尊敬的客户，您好！

您好，好几天没有收到您的回复了。

请问您的问题是否有任何进展？如果您对我的回复有任何疑问，欢迎您随时咨询我们。

如果您还需要进一步帮助，也欢迎您随时咨询我们。

感谢您的理解和支持。

此致，
Daisy Zhou

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已标记为答案山林73 2020年9月2日 4:19
2020年9月1日 6:41

回复

|

引用

版主
0

登录进行投票
谢谢你的关注。虽然一直找不到原因，不知道是本机是否有问题，或是内网或外网。在启用360远程桌面的安全模式后，异常的登录审核日志倒是没出现，只是远程桌面记住的用户名密码不能用了，每次都要输入。从这一点来看应该和远程桌面的某种机制有关，就是不知道本机是不是也有问题。实在无从跟踪来源（日志详细见首条）。
- 已编辑山林73 2020年9月2日 4:29
2020年9月2日 4:28

回复

|

引用
0

登录进行投票

尊敬的客户，您好！

感谢您的回复。

很高兴异常登录的审核日志不再出现了。

对于这个问题“只是远程桌面记住的用户名密码不能用了，每次都要输入”，您可以检查下，连接的时候是否勾选了选项“允许我保存凭据”或者“总是需要凭据”。

不是太清除跟保存了凭据是否有关系，您可以尝试再次保存凭据，即以后每次登录的时候不需要输入凭据，然后看是否还会出现异常登录失败的现象。

此致，
Daisy Zhou

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2020年9月2日 8:30

回复

|

引用

版主
1

登录进行投票

这个就是常见的暴力破解，我好几台服务器上也天天有这个问题，360有防这个的功能，不过我觉得只要不上容易猜到的用户名和密码就没事，如果不用360来防御你可以试试只使用NTLMv2甚至是仅允许ssl加密不允许rdp加密，还有就是让登录界面不显示上一个成功登录的用户名，这些都在组策略里面。我之前忘了删除一个测试账户结果被成功登录进去，据我观察他只是通过远程桌面在机器上挖矿，当然如果是有管理员权限的账户我就不清楚了。

这种暴力破解分三种，一种是没有伪造ip的，日志里面ip都是一样的。一种是伪造ip的，日志里面来自各地的ip都有，还有一种就是你这种不显示ip的。我只知道360可以一劳永逸的解决这个问题，但是我并不想安装360。

2020年9月2日 8:41

回复

|

引用
0

登录进行投票

保存凭证没有问题，只要启用360远程防护，就会强制登录输入。

问题不在这方面，而是不知入侵途径和怎么防护。

2020年9月6日 12:56

回复

|

引用
0

登录进行投票

不敢确定就是从远程桌面方面进行攻击。看登录日志频度很高，有段时间间隔十几秒，登录和远程策略都不起作用。是什么方式隐藏攻击来源IP的？

2020年9月6日 13:01

回复

|

引用
0

登录进行投票
我怀疑是直接用程序定制包的，或者是利用rdp本身的远程执行让登录发生在本地。在包里写自己的ip并非强制要求，完全可以乱写，就像是寄信的寄件人可以乱写没人会确认一样，这是一种可能。我之前还被人用389做反射攻击跳板，就是用他攻击的目标ip填在源ip字段然后发给我389，389就会往那个ip发一堆东西，搞得我现在只能用白名单。

还有一种可能的话，不知道你有没有注意过，有时候登录不成功并不会直接在mstsc程序上弹出错误，而是加载出远程会话，在会话里面显示出错误，这时候可以直接在如同本地登录的登录对话框里输账户密码，我猜想这时候登录事件的发起方应该并非远程登录，所以没有ip。我并不清楚该怎么关掉，目前也只是反正他连账户名都填不对所以就放着不管了
- 已标记为答案山林73 2020年10月13日 6:40
2020年9月7日 18:23

回复

|

引用

积极答复者

求救：找不到原因的登录攻击，也不知道怎么防范，windows防火墙也设置极致

问题

答案

全部回复