首页 > 代码库 > 记一次服务器被攻击

记一次服务器被攻击

二、着急的看这里

话说这位总监2B路子广啊,单位的活干着,还到处接别人的,这不丫让本屌赶上了,用单位的钱购进了一台服务器,配了独立公网ip,专门做这些业务。好嘛,本来对这些系统维护之类的东西本屌一贯不查收,原因是有几次说要陪服务器,问这几个人密码都不告诉本屌,跟防贼似得(我就奇了怪了,从内部攻就凭你们这三脚猫功夫能防得住)。从此以后,但凡涉及到这些东西都让他们自己来输吧,不参合! 终于有一天这个服务器中招了,哪天本屌正好中午请2个小时假见创业的朋友,2B一个劲儿的打电话让回来(呵呵,我会说是我干的吗?[当然不是)。回来一看系统安全日志,尼玛是这样的:

审核失败 2014/xx/xx hh:mm:10 Microsoft-Windows-Security-Auditing 4625 登录 "帐户登录失败。

审核失败 2014/xx/xx hh:mm:05 Microsoft-Windows-Security-Auditing 4625 登录 "帐户登录失败。

.....(此处省略一万行)

审核失败 2014/xx/xx hh:mm:01 Microsoft-Windows-Security-Auditing 4625 登录 "帐户登录失败。


看来是的确是被盯上来。

服务器的配置: win server 2008 r2 防火墙全开 预留系统端口

查看登陆审核进程为:ntlmssp,关于NT LM的审核机制可以wiki上看也可以到microsoft有详细介绍,这里不多说,直接给出解决方案:

第一种:使用syspeace

  如果攻击源的流量不是特别大,或者并非恶意来源可以使用syspeace来进行短时间内的block,效果就是会安静许多。

技术分享


第二种:进行NTLM策略控制,彻底阻止LM响应

技术分享


图片上说的已经很清楚了,就不在一一列举了。应用以上安全策略顿时清净了许多。

2B和装B犯憋了一口老气慢慢的呼了出来,直男癌还在低头抢春运的票。。。


记一次服务器被攻击