日志里有海量的登录失败,有没有人能提供一些排查的思路?

1 天前
 zephyru

日志电脑是台 windows ,在事件查看器里看到的 日志单条大概是这样的

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" /> 
  <EventID>4625</EventID> 
  <Version>0</Version> 
  <Level>0</Level> 
  <Task>12544</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8010000000000000</Keywords> 
  <TimeCreated SystemTime="2024-12-27T07:38:10.1347755Z" /> 
  <EventRecordID>3536438</EventRecordID> 
  <Correlation ActivityID="{59d78f96-5809-0001-5690-d7590958db01}" /> 
  <Execution ProcessID="852" ThreadID="932" /> 
  <Channel>Security</Channel> 
  <Computer>DESKTOP-7CQ6CHA</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data Name="SubjectUserSid">S-1-0-0</Data> 
  <Data Name="SubjectUserName">-</Data> 
  <Data Name="SubjectDomainName">-</Data> 
  <Data Name="SubjectLogonId">0x0</Data> 
  <Data Name="TargetUserSid">S-1-0-0</Data> 
  <Data Name="TargetUserName">ADMINISTRATOR</Data> 
  <Data Name="TargetDomainName" /> 
  <Data Name="Status">0xc000006d</Data> 
  <Data Name="FailureReason">%%2313</Data> 
  <Data Name="SubStatus">0xc000006a</Data> 
  <Data Name="LogonType">3</Data> 
  <Data Name="LogonProcessName">NtLmSsp</Data> 
  <Data Name="AuthenticationPackageName">NTLM</Data> 
  <Data Name="WorkstationName">-</Data> 
  <Data Name="TransmittedServices">-</Data> 
  <Data Name="LmPackageName">-</Data> 
  <Data Name="KeyLength">0</Data> 
  <Data Name="ProcessId">0x0</Data> 
  <Data Name="ProcessName">-</Data> 
  <Data Name="IpAddress">192.168.10.111</Data> 
  <Data Name="IpPort">0</Data> 
  </EventData>
  </Event>

几分钟一次 日志的意思是,通过 网络方式 请求登录,用户名正确但是密码不正确。
我查到一篇文章说 安全策略组里 禁止 NTLM 流量传入就可以避免这种日志出现。

但问题是请求过来的 Ip 是我内网的一台 Linux 虚拟机,发起请求的端口是 0 让我很费解...
这台虚拟机通过 frp 代理了一些 Nginx 端口在公网。
同时在 docker 里布置了 safeline 用来清洗从外网进来的流量,没有在公网暴露 ssh 或者数据库。
Nginx 在这台虚拟机上,虚拟机上同时还有 cloudflared 的 tunnel 代理。
之前用 frp 将 windows 的 3389 反代到非标准的端口到公网过,发现日志后就不这么做了。
所有反代的出口均使用了 https 和子域名(这也是为啥装了 Nginx )

我尝试用
lsof -i @192.168.10.111
没看到什么可疑的进程

尝试把 safeline ,cloudflared ,Nginx 都关掉,这个日志还是会出现。

现在情况就是,不影响使用,也没有什么异常占用。
就是一个劲的能看到这个日志我也不确定是不是我的虚拟机因为什么原因被拿下了。

重装倒是成本不高,问题是很难避免再出现这个问题,所以想来找找排查思路或者可能的原因。
先谈谈我的假设

  1. 有人扫到了反代后的 rdp 的端口然后开始不断尝试
    关闭反代后依旧有

  2. 虚拟机被拿下了,然后又挂了个什么代理或者木马
    不确定,在思考这种情况的话,是怎么被拿下来的?有没有什么排查方式?

  3. 因为 smb 共享,网上邻居或者类似的服务导致的网络发现?
    不确定,会有这种可能么?也许断掉公网再看有没有日志可以排查这个问题?

917 次点击
所在节点    程序员
4 条回复
Qiuchi
1 天前
wireshark 有请,既然日志记了请求来源,就在那上边看下到底是不是那上边来的
zephyru
1 天前
@Qiuchi
我在 111 上用 tcpdump 抓了一把
···sh
18:08:26.060614 IP (tos 0x0, ttl 64, id 27498, offset 0, flags [DF], proto TCP (6), length 60)
192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [S], cksum 0x9657 (incorrect -> 0x35f9), seq 1791341889, win 64240, options [mss 1460,sackOK,TS val 3005592640 ecr 0,nop,wscale 7], length 0
18:08:26.060968 IP (tos 0x0, ttl 64, id 27499, offset 0, flags [DF], proto TCP (6), length 40)
192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0xd116), seq 1791341890, ack 4131272408, win 502, length 0
18:08:26.065368 IP (tos 0x0, ttl 64, id 27500, offset 0, flags [DF], proto TCP (6), length 83)
192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x966e (incorrect -> 0x479c), seq 0:43, ack 1, win 502, length 43
18:08:26.078310 IP (tos 0x0, ttl 64, id 27501, offset 0, flags [DF], proto TCP (6), length 40)
192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0xd0d8), seq 43, ack 20, win 502, length 0
18:08:26.279963 IP (tos 0x0, ttl 64, id 27502, offset 0, flags [DF], proto TCP (6), length 245)
192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x9710 (incorrect -> 0xee61), seq 43:248, ack 20, win 502, length 205
18:08:26.281046 IP (tos 0x0, ttl 64, id 27503, offset 0, flags [DF], proto TCP (6), length 40)
192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0xccc2), seq 248, ack 862, win 501, length 0
18:08:26.491485 IP (tos 0x0, ttl 64, id 27504, offset 0, flags [DF], proto TCP (6), length 366)
192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x9789 (incorrect -> 0x8485), seq 248:574, ack 862, win 501, length 326
18:08:26.493603 IP (tos 0x0, ttl 64, id 27505, offset 0, flags [DF], proto TCP (6), length 40)
192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0xcb41), seq 574, ack 921, win 501, length 0
18:08:26.696449 IP (tos 0x0, ttl 64, id 27506, offset 0, flags [DF], proto TCP (6), length 125)
192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x9698 (incorrect -> 0x32b5), seq 574:659, ack 921, win 501, length 85
18:08:26.697653 IP (tos 0x0, ttl 64, id 27507, offset 0, flags [DF], proto TCP (6), length 40)
192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0xc9c7), seq 659, ack 1214, win 501, length 0
18:08:26.931073 IP (tos 0x0, ttl 64, id 27508, offset 0, flags [DF], proto TCP (6), length 701)
192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x98d8 (incorrect -> 0x870f), seq 659:1320, ack 1214, win 501, length 661
18:08:27.938737 IP (tos 0x0, ttl 64, id 27509, offset 0, flags [DF], proto TCP (6), length 40)
192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0xc70d), seq 1320, ack 1251, win 501, length 0
18:08:28.140901 IP (tos 0x0, ttl 64, id 27510, offset 0, flags [DF], proto TCP (6), length 40)
192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [F.], cksum 0x9643 (incorrect -> 0xc70c), seq 1320, ack 1251, win 501, length 0
18:08:37.782607 IP (tos 0x0, ttl 64, id 37443, offset 0, flags [DF], proto TCP (6), length 60)
192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [S], cksum 0x9657 (incorrect -> 0x1cca), seq 2792472062, win 64240, options [mss 1460,sackOK,TS val 3005604362 ecr 0,nop,wscale 7], length 0
18:08:37.783240 IP (tos 0x0, ttl 64, id 37444, offset 0, flags [DF], proto TCP (6), length 40)
192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0x9249), seq 2792472063, ack 3368859570, win 502, length 0
18:08:37.788266 IP (tos 0x0, ttl 64, id 37445, offset 0, flags [DF], proto TCP (6), length 83)
192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x966e (incorrect -> 0x08cf), seq 0:43, ack 1, win 502, length 43
18:08:37.800789 IP (tos 0x0, ttl 64, id 37446, offset 0, flags [DF], proto TCP (6), length 40)
192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0x920b), seq 43, ack 20, win 502, length 0
18:08:37.982548 IP (tos 0x0, ttl 64, id 37447, offset 0, flags [DF], proto TCP (6), length 245)
192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x9710 (incorrect -> 0x68f7), seq 43:248, ack 20, win 502, length 205
18:08:37.983766 IP (tos 0x0, ttl 64, id 37448, offset 0, flags [DF], proto TCP (6), length 40)
192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0x8df5), seq 248, ack 862, win 501, length 0
18:08:38.165559 IP (tos 0x0, ttl 64, id 37449, offset 0, flags [DF], proto TCP (6), length 366)
192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x9789 (incorrect -> 0x27a8), seq 248:574, ack 862, win 501, length 326
18:08:38.166605 IP (tos 0x0, ttl 64, id 37450, offset 0, flags [DF], proto TCP (6), length 40)
192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0x8c74), seq 574, ack 921, win 501, length 0
18:08:38.347857 IP (tos 0x0, ttl 64, id 37451, offset 0, flags [DF], proto TCP (6), length 125)
192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x9698 (incorrect -> 0x0d02), seq 574:659, ack 921, win 501, length 85
18:08:38.349135 IP (tos 0x0, ttl 64, id 37452, offset 0, flags [DF], proto TCP (6), length 40)
192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0x8afa), seq 659, ack 1214, win 501, length 0
18:08:38.530605 IP (tos 0x0, ttl 64, id 37453, offset 0, flags [DF], proto TCP (6), length 701)
192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x98d8 (incorrect -> 0x02a5), seq 659:1320, ack 1214, win 501, length 661
18:08:39.545631 IP (tos 0x0, ttl 64, id 37454, offset 0, flags [DF], proto TCP (6), length 40)
192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0x8840), seq 1320, ack 1251, win 501, length 0
18:08:39.726709 IP (tos 0x0, ttl 64, id 37455, offset 0, flags [DF], proto TCP (6), length 40)
192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [F.], cksum 0x9643 (incorrect -> 0x883f), seq 1320, ack 1251, win 501, length 0
···

应该是有周期性发起请求的,但我不知道用什么方式可以同时查看这个连接是谁发起的或者从哪来的,每次请求端口都会变
Qiuchi
1 天前
@zephyru 可以先 dump 下来,看下包里面的是什么东西,也许有啥线索
Qiuchi
1 天前
不过话说你这个不是应该 lsof 192.168.10.105 ? 111 是 linux 服务器吧

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1100749

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX