V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kang000feng
V2EX  ›  服务器

服务器被黑,安全日志看 ANONYMOUS LOGON 登陆,防火墙看到对方在连接我的 3389,我服务器桌面的所有文件对方都能浏览吗?

  •  
  •   kang000feng · 2015-05-26 18:31:26 +08:00 · 5817 次点击
    这是一个创建于 3473 天前的主题,其中的信息可能已经有所发展或是发生改变。
    对方是暴力破解的吗? 已经强密码.除了指定IP登陆,还有其他措施吗?

    Event Type: Success Audit
    Event Source: Security
    Event Category: Logon/Logoff
    Event ID: 540
    Date:
    Time: 18:17:52
    User: NT AUTHORITY\ANONYMOUS LOGON
    Computer: XXXXXX
    Description:
    Successful Network Logon:
    User Name:
    Domain:
    Logon ID: ( )
    Logon Type: 3
    Logon Process: NtLmSsp
    Authentication Package: NTLM
    Workstation Name:
    Logon GUID: -
    Caller User Name: -
    Caller Domain: -
    Caller Logon ID: -
    Caller Process ID: -
    Transited Services: -
    Source Network Address: -
    Source Port: -


    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
    8 条回复    2015-05-28 20:18:02 +08:00
    pimin
        1
    pimin  
       2015-05-26 18:45:00 +08:00 via iPhone
    通常来说win服务器可以登录3389基本上是拿到管理员权限。所有文件对对方都是可见的。
    然而,NT AUTHORITY\ANONYMOUS LOGON
    并不是登陆3389日志。
    pimin
        2
    pimin  
       2015-05-26 18:49:51 +08:00 via iPhone
    首先停用所有可疑账户,自用管理员权限账户更改密码,然后排查对方渗透方式,做好善后。
    kang000feng
        3
    kang000feng  
    OP
       2015-05-26 19:43:16 +08:00
    @pimin 谢谢,请问NT AUTHORITY\ANONYMOUS LOGON 是什么日志? 我服务器上浏览器中保存的密码是不是都不安全了?
    pimin
        4
    pimin  
       2015-05-26 20:25:48 +08:00 via iPhone
    @kang000feng
    代表不使用帐户名、密码或域名而通过网络访问计算机及其资源的用户和服务。
    比如FTP之类服务,单说这条日志很正常,不存在风险。但是不能确定你服务器有没有其它风险。
    建议启用证书登陆,麻烦一些换来高安全性。
    和ssh一样,单纯密码登陆目前都算是缺点。
    即便是服务器被黑,浏览器保存密码通常也不容易被利用,因为很少有人用服务器上的浏览器,搜集服务器信息也很少打这方面主意。
    kang000feng
        5
    kang000feng  
    OP
       2015-05-26 21:31:23 +08:00
    @pimin 谢谢,请问如何排查呢?能否给个思路?我用process explorer查看所有进程,没发现可疑,除了暴力穷举破解外,还是其他可能吗? 启用证书是指SSL加密认证吗?那个据说也不安全 用RC4加密,而且远程服务器安装证书组件需要插入光盘,VPS,没法弄.
    pimin
        6
    pimin  
       2015-05-26 21:55:45 +08:00 via iPhone
    首先,进程、服务、启动项过一遍
    然后用工具看下有没有隐藏账户
    最后再登陆3389时候试试5下shift和win+u有没有被留后门,改掉3389端口。

    远程桌面暴力破解难度大,而且会留下一大堆日志文件。
    通常来说,都是系统其它程序漏洞、配置不正确导致被入侵。
    比如php之类web程序被拿到webshell,相关目录有执行权限利用本地溢出拿到系统权限。
    再比如web程序有SQL注入漏洞,mssql以系统管理员权限运行直接执行cmd命令拿到系统权限。
    程序、系统没有及时更新补丁被远程溢出等。


    远程无法插光盘问题可通过虚拟光驱解决。
    1.本地挂载光盘远程桌面带到服务器
    2.vps下载光盘,虚拟光盘加载
    kang000feng
        7
    kang000feng  
    OP
       2015-05-27 18:14:45 +08:00
    谢谢 @pimin ,我那台服务器是刚启用,什么都没装,firewall一直关闭直到前几天开了才发现被黑的, 现在防火墙3389端口已指定ip登陆,并只开放该端口,这样以后还有被入侵的可能吗?
    pimin
        8
    pimin  
       2015-05-28 20:18:02 +08:00 via iPhone
    @kang000feng
    可能性很小
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1090 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 22:36 · PVG 06:36 · LAX 14:36 · JFK 17:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.