服务器日志出现大量NTLM(NT LAN Manager)攻击

这篇具有很好参考价值的文章主要介绍了服务器日志出现大量NTLM(NT LAN Manager)攻击。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

日志名称:Security
来源:  Microsoft-Windows-Security-Auditing
日期:  2023/8/30 20:57:40
事件 ID:4625
任务类别:登录
级别:  信息
关键字: 审核失败
用户:  暂缺
计算机: WIN-QBJ3ORTR0CF
描述:
帐户登录失败。

主题:
    安全 ID:NULL SID
    帐户名:-
    帐户域:-
    登录 ID:0x0

登录类型:3

登录失败的帐户:
    安全 ID:NULL SID
    帐户名:ADMINISTRATOR
    帐户域:

失败信息:
    失败原因:未知用户名或密码错误。
    状态:0xc000006d
    子状态:0xc000006a

进程信息:
    调用方进程 ID:0x0
    调用方进程名:-

网络信息:
    工作站名:    
    源网络地址:    -
    源端口:-

详细身份验证信息:
    登录进程:NtLmSsp 
    身份验证数据包:    NTLM
    传递服务:    -
    数据包名(仅限 NTLM):    -
    密钥长度:0

登录请求失败时在尝试访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
    -“传递服务”指明哪些直接服务参与了此登录请求。
    -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
    -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2023-08-30T12:57:40.100456500Z" />
    <EventRecordID>60611276</EventRecordID>
    <Correlation />
    <Execution ProcessID="568" ThreadID="2376" />
    <Channel>Security</Channel>
    <Computer>WIN-QBJ3ORTR0CF</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-0-0</Data>
    <Data Name="SubjectUserName">-</Data>
    <Data Name="SubjectDomainName">-</Data>
    <Data Name="SubjectLogonId">0x0</Data>
    <Data Name="TargetUserSid">S-1-0-0</Data>
    <Data Name="TargetUserName">ADMINISTRATOR</Data>
    <Data Name="TargetDomainName">
    </Data>
    <Data Name="Status">0xc000006d</Data>
    <Data Name="FailureReason">%%2313</Data>
    <Data Name="SubStatus">0xc000006a</Data>
    <Data Name="LogonType">3</Data>
    <Data Name="LogonProcessName">NtLmSsp </Data>
    <Data Name="AuthenticationPackageName">NTLM</Data>
    <Data Name="WorkstationName">
    </Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">-</Data>
    <Data Name="KeyLength">0</Data>
    <Data Name="ProcessId">0x0</Data>
    <Data Name="ProcessName">-</Data>
    <Data Name="IpAddress">-</Data>
    <Data Name="IpPort">-</Data>
  </EventData>
</Event>

解决方案:

服务器日志出现大量NTLM(NT LAN Manager)攻击,服务器,运维服务器日志出现大量NTLM(NT LAN Manager)攻击,服务器,运维

警告,如果未进行如下设置,设置【网络安全:限制 NTLM:传入 NTLM 流量 - 拒绝所有帐户】后,有可能无法登录远程桌面,参考:阻止 NTLM后无法登录远程桌面的原因_子蛟的博客-CSDN博客文章来源地址https://www.toymoban.com/news/detail-685323.html

到了这里,关于服务器日志出现大量NTLM(NT LAN Manager)攻击的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • SCP命令在不同远程服务器之间发送文件(指定端口、大量小文件操作)

    最近想把数据集放在另一个服务器上,但是如果先下载到本地然后再上传过去,则需要浪费好久时间。 特总结下如何快捷的通过命令完成不同远程服务器之间的文件传输,以及遇到的问题。 SCP命令 Linux scp 命令用于 Linux 之间复制文件和目录。 1 scp 是 secure copy 的缩写, scp 是

    2023年04月18日
    浏览(52)
  • Raid5阵列数据恢复+Openmediavault配置内网与外网远程访问+服务器到服务器的大量文件转移备份

    1、OpenMediaVault,是一个开源的(免费)基于Debian Linux的下一代网络附加存储(NAS)解决方案。 2、易于使用的 WEB 管理界面:OpenMediaVault 的用户界面设计直观,即使是没有 Linux 经验的用户也能轻松上手。与其他流行的 NAS 解决方案相比,例如 FreeNAS(现更名为 TrueNAS CORE)和 Synol

    2024年03月15日
    浏览(54)
  • 【科普+技术】Linux服务器被占用大量资源,用三大网站排查ip地址和初步处理挖矿病毒

    五星红旗在bg飘扬——中国黑客的复仇 这里的“挖矿”只是个说法不是拿着锄头进矿洞,是指一段时间内在比特币系统中发生的交易进行确认,并记录在 区块链 上,形成新的区块,而挖矿的人叫作 矿工 。比特币系统的记账权利是去中心化的,即每个矿工都有记账的权利,只

    2023年04月15日
    浏览(55)
  • 日志服务器搭建

    1、安装完系统后,配置网络; 设置静态IP, vi /etc/sysconfig/network_scripts/ifcfg-ens33 编辑模式下修改: i BOOTPROTO=static          改为静态 ONBOOT=YES IPADDR=192.168.133.140 NETMASK=255.255.255.0 GATEWAY=192.168.133.2 DNS1=119.29.29.29 ESC退出键  :WQ保存退出 systemctl restart network 重启网络服务  2、服务端

    2024年02月08日
    浏览(51)
  • 日志服务器的搭建

    日志服务器 在centos7系统中,默认的日志系统是rsyslog,它是一类unix系统上使用的开源工具,用于在ip网络中转发日志信息,rsyslog采用模块化设计,是syslog的替代品。 rsyslog特点 实现了基本的syslog协议 直接兼容syslogd的syslog.conf配置文件 在同一台机器上支持多个rsyslogd进程,支

    2024年02月13日
    浏览(44)
  • 服务器日志存储时间

    按照公司要求,各系统服务器日志留存情况,应满足不少于6个月(服务日志默认是4周)。 一、排查方式: 1.查看/etc/logrotate.conf配置是否正确;   2.查看/var/log日志存储情况(可选); 二、修复方式如下: vi /etc/logrotate.conf # rotate log files weekly weekly 修改为monthly  # keep 4 weeks

    2024年02月14日
    浏览(43)
  • 36、springboot --- 对 tomcat服务器 和 undertow服务器 配置访客日志

    访客日志: Web服务器可以将所有访问用户的记录都以日志的形式记录下来,主要就是记录来自哪个IP的用户、在哪个时间点、访问了哪个资源。 pattern: %t 访问时间 %a 访问用户的ip “%r” 访问的方式和地址 %s 使用的协议 (%D ms) 访问后的响应 代码演示: 这是用 tomcat 来设置 访

    2024年02月10日
    浏览(45)
  • linux定时删除服务器日志

    不说废话。直接进入操作流程 linux 定时任务是用的crontab 查看 crontab是否启动 dead 死的 启动crontab 再次查看状态 running  运转的 查看 crontab 查看 crontab任务 编辑 crontab任务 创建了一个任务  0 1 * * *  sh /workspace/java/del_log/dele_log.sh 每天1点自动执行 其中: 第一个号表示时间中的

    2024年02月09日
    浏览(48)
  • Java 项目 服务器 日志配置

    最近 在搞一个0-1的项目 就想把 服务器日志配置 记录一下 我们使用的是 单体微服务项目 首先你需要一个xml 然后就是 pom文件里面添加上对应的依赖 然后 yml 里面 然后再服务器对应的创建 存储日志的文件 logs  

    2024年02月07日
    浏览(34)
  • 服务器出现404错误怎么处理

    很多站长使用虚拟主机或者云服务器做网站的以为这个就是空间商的问题,空间商主要服务虚拟主机的运维,跟404出现错误 并不完全直接关联的, 也是关于多方面的问题存在的, 现在由壹基比小鑫来给大家讲解下: 1.错误原因 HTTP 404 错误意味着链接指向的网页不存在,即原

    2024年04月11日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包