服务器日志出现大量NTLM(NT LAN Manager)攻击

子蛟2023-08-31 11:44

日志名称:Security

来源: Microsoft-Windows-Security-Auditing

日期: 2023/8/30 20:57:40

事件 ID:4625

任务类别:登录

级别: 信息

关键字: 审核失败

用户: 暂缺

计算机: WIN-QBJ3ORTR0CF

描述:

帐户登录失败。

主题:

安全 ID:NULL SID

帐户名:-

帐户域:-

登录 ID:0x0

登录类型:3

登录失败的帐户:

安全 ID:NULL SID

帐户名:ADMINISTRATOR

帐户域:

失败信息:

失败原因:未知用户名或密码错误。

状态:0xc000006d

子状态:0xc000006a

进程信息:

调用方进程 ID:0x0

调用方进程名:-

网络信息:

工作站名:

源网络地址: -

源端口:-

详细身份验证信息:

登录进程:NtLmSsp

身份验证数据包: NTLM

传递服务: -

数据包名(仅限 NTLM): -

密钥长度:0

登录请求失败时在尝试访问的计算机上生成此事件。

"主题"字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

"登录类型"字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

"进程信息"字段表明系统上的哪个帐户和进程请求了登录。

"网络信息"字段指明远程登录请求来自哪里。"工作站名"并非总是可用,而且在某些情况下可能会留为空白。

"身份验证信息"字段提供关于此特定登录请求的详细信息。

-"传递服务"指明哪些直接服务参与了此登录请求。

-"数据包名"指明在 NTLM 协议之间使用了哪些子协议。

-"密钥长度"指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。

事件 Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

<System>

<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />

<EventID>4625</EventID>

<Version>0</Version>

<Level>0</Level>

<Task>12544</Task>

<Opcode>0</Opcode>

<Keywords>0x8010000000000000</Keywords>

<TimeCreated SystemTime="2023-08-30T12:57:40.100456500Z" />

<EventRecordID>60611276</EventRecordID>

<Correlation />

<Execution ProcessID="568" ThreadID="2376" />

<Channel>Security</Channel>

<Computer>WIN-QBJ3ORTR0CF</Computer>

<Security />

</System>

<EventData>

<Data Name="SubjectUserSid">S-1-0-0</Data>

<Data Name="SubjectUserName">-</Data>

<Data Name="SubjectDomainName">-</Data>

<Data Name="SubjectLogonId">0x0</Data>

<Data Name="TargetUserSid">S-1-0-0</Data>

<Data Name="TargetUserName">ADMINISTRATOR</Data>

<Data Name="TargetDomainName">

</Data>

<Data Name="Status">0xc000006d</Data>

<Data Name="FailureReason">%%2313</Data>

<Data Name="SubStatus">0xc000006a</Data>

<Data Name="LogonType">3</Data>

<Data Name="LogonProcessName">NtLmSsp </Data>

<Data Name="AuthenticationPackageName">NTLM</Data>

<Data Name="WorkstationName">

</Data>

<Data Name="TransmittedServices">-</Data>

<Data Name="LmPackageName">-</Data>

<Data Name="KeyLength">0</Data>

<Data Name="ProcessId">0x0</Data>

<Data Name="ProcessName">-</Data>

<Data Name="IpAddress">-</Data>

<Data Name="IpPort">-</Data>

</EventData>

</Event>

解决方案:

相关推荐
舒一笑1 天前
程序员效率神器:一文掌握 tmux(服务器开发必备工具)
运维·后端·程序员
NineData2 天前
数据库管理工具NineData,一年进化成为数万+开发者的首选数据库工具?
运维·数据结构·数据库
梦想很大很大2 天前
拒绝“盲猜式”调优:在 Go Gin 项目中落地 OpenTelemetry 链路追踪
运维·后端·go
Sinclair2 天前
内网服务器离线安装 Nginx+PHP+MySQL 的方法
运维
叶落阁主2 天前
Tailscale 完全指南:从入门到私有 DERP 部署
运维·安全·远程工作
茶杯梦轩3 天前
从零起步学习RabbitMQ || 第二章:RabbitMQ 深入理解概念 Producer、Consumer、Exchange、Queue 与企业实战案例
服务器·后端·消息队列
甲鱼9294 天前
MySQL 实战手记:日志管理与主从复制搭建全指南
运维
YuMiao5 天前
gstatic连接问题导致Google Gemini / Studio页面乱码或图标缺失问题
服务器·网络协议
碳基沙盒6 天前
OpenClaw 多 Agent 配置实战指南
运维
Sinclair8 天前
简单几步,安卓手机秒变服务器,安装 CMS 程序
android·服务器
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03Window 10部署openclaw报错node.exe : npm error code 12804OpenClaw + 飞书(Feishu)环境搭建指南05本地部署 OpenClaw + DeepSeek-R1 完全指南06OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录07小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)08OpenClaw优化飞书API 额度已耗尽问题09Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services10OpenClaw 飞书机器人不回复消息?3 小时踩坑总结