服务器日志出现大量NTLM(NT LAN Manager)攻击

子蛟2023-08-31 11:44

日志名称:Security

来源: Microsoft-Windows-Security-Auditing

日期: 2023/8/30 20:57:40

事件 ID:4625

任务类别:登录

级别: 信息

关键字: 审核失败

用户: 暂缺

计算机: WIN-QBJ3ORTR0CF

描述:

帐户登录失败。

主题:

安全 ID:NULL SID

帐户名:-

帐户域:-

登录 ID:0x0

登录类型:3

登录失败的帐户:

安全 ID:NULL SID

帐户名:ADMINISTRATOR

帐户域:

失败信息:

失败原因:未知用户名或密码错误。

状态:0xc000006d

子状态:0xc000006a

进程信息:

调用方进程 ID:0x0

调用方进程名:-

网络信息:

工作站名:

源网络地址: -

源端口:-

详细身份验证信息:

登录进程:NtLmSsp

身份验证数据包: NTLM

传递服务: -

数据包名(仅限 NTLM): -

密钥长度:0

登录请求失败时在尝试访问的计算机上生成此事件。

"主题"字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

"登录类型"字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

"进程信息"字段表明系统上的哪个帐户和进程请求了登录。

"网络信息"字段指明远程登录请求来自哪里。"工作站名"并非总是可用,而且在某些情况下可能会留为空白。

"身份验证信息"字段提供关于此特定登录请求的详细信息。

-"传递服务"指明哪些直接服务参与了此登录请求。

-"数据包名"指明在 NTLM 协议之间使用了哪些子协议。

-"密钥长度"指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。

事件 Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

<System>

<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />

<EventID>4625</EventID>

<Version>0</Version>

<Level>0</Level>

<Task>12544</Task>

<Opcode>0</Opcode>

<Keywords>0x8010000000000000</Keywords>

<TimeCreated SystemTime="2023-08-30T12:57:40.100456500Z" />

<EventRecordID>60611276</EventRecordID>

<Correlation />

<Execution ProcessID="568" ThreadID="2376" />

<Channel>Security</Channel>

<Computer>WIN-QBJ3ORTR0CF</Computer>

<Security />

</System>

<EventData>

<Data Name="SubjectUserSid">S-1-0-0</Data>

<Data Name="SubjectUserName">-</Data>

<Data Name="SubjectDomainName">-</Data>

<Data Name="SubjectLogonId">0x0</Data>

<Data Name="TargetUserSid">S-1-0-0</Data>

<Data Name="TargetUserName">ADMINISTRATOR</Data>

<Data Name="TargetDomainName">

</Data>

<Data Name="Status">0xc000006d</Data>

<Data Name="FailureReason">%%2313</Data>

<Data Name="SubStatus">0xc000006a</Data>

<Data Name="LogonType">3</Data>

<Data Name="LogonProcessName">NtLmSsp </Data>

<Data Name="AuthenticationPackageName">NTLM</Data>

<Data Name="WorkstationName">

</Data>

<Data Name="TransmittedServices">-</Data>

<Data Name="LmPackageName">-</Data>

<Data Name="KeyLength">0</Data>

<Data Name="ProcessId">0x0</Data>

<Data Name="ProcessName">-</Data>

<Data Name="IpAddress">-</Data>

<Data Name="IpPort">-</Data>

</EventData>

</Event>

解决方案:

相关推荐
我命由我1234523 分钟前
PDFBox - PDF 页面坐标系、PDF 页面尺寸获取、PDF 页面位置计算
java·服务器·开发语言·笔记·后端·java-ee·pdf
我爱钱因此会努力38 分钟前
shell实战-跳板机和测试主机是否在线
服务器·tcp/ip·bash
木子江L1 小时前
Docker容器启动Nacos
运维·docker·容器
m0_748240251 小时前
C++仿Muduo库Server服务器模块实现 基于Reactor模式的高性
服务器·c++·php
无聊的小坏坏2 小时前
详解 TCP 通信中的序列化与反序列化:从登录场景谈起
服务器·网络·tcp/ip
北京阿法龙科技有限公司3 小时前
AR巡检轨道交通、地铁运维场景的应用技术方案|阿法龙XR云平台
运维·ar·xr
Teamhelper_AR3 小时前
AR智能巡检:电力运维的“透视眼”与“超级大脑”
运维·ar
likeyou~coucou3 小时前
nginx负载均衡
运维·负载均衡
指尖@韶华3 小时前
【Kylin Linux root 密码故障处置指南(超限重试 + 改回原密码)】
linux·运维·kylin
Madison-No73 小时前
【Linux】 第一个系统程序——进度条
linux·运维·服务器
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03UV安装并设置国内源04GitLab 零基础入门指南:从安装到项目管理全流程05Linux下V2Ray安装配置指南06NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南07Labelme从安装到标注:零基础完整指南08Burp与其他安全工具联动及代理设置教程09jdk21下载、安装(Windows、Linux、macOS)102025软件测试面试八股文(含答案+文档)