服务器日志出现大量NTLM(NT LAN Manager)攻击

子蛟2023-08-31 11:44

日志名称:Security

来源: Microsoft-Windows-Security-Auditing

日期: 2023/8/30 20:57:40

事件 ID:4625

任务类别:登录

级别: 信息

关键字: 审核失败

用户: 暂缺

计算机: WIN-QBJ3ORTR0CF

描述:

帐户登录失败。

主题:

安全 ID:NULL SID

帐户名:-

帐户域:-

登录 ID:0x0

登录类型:3

登录失败的帐户:

安全 ID:NULL SID

帐户名:ADMINISTRATOR

帐户域:

失败信息:

失败原因:未知用户名或密码错误。

状态:0xc000006d

子状态:0xc000006a

进程信息:

调用方进程 ID:0x0

调用方进程名:-

网络信息:

工作站名:

源网络地址: -

源端口:-

详细身份验证信息:

登录进程:NtLmSsp

身份验证数据包: NTLM

传递服务: -

数据包名(仅限 NTLM): -

密钥长度:0

登录请求失败时在尝试访问的计算机上生成此事件。

"主题"字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

"登录类型"字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

"进程信息"字段表明系统上的哪个帐户和进程请求了登录。

"网络信息"字段指明远程登录请求来自哪里。"工作站名"并非总是可用,而且在某些情况下可能会留为空白。

"身份验证信息"字段提供关于此特定登录请求的详细信息。

-"传递服务"指明哪些直接服务参与了此登录请求。

-"数据包名"指明在 NTLM 协议之间使用了哪些子协议。

-"密钥长度"指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。

事件 Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

<System>

<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />

<EventID>4625</EventID>

<Version>0</Version>

<Level>0</Level>

<Task>12544</Task>

<Opcode>0</Opcode>

<Keywords>0x8010000000000000</Keywords>

<TimeCreated SystemTime="2023-08-30T12:57:40.100456500Z" />

<EventRecordID>60611276</EventRecordID>

<Correlation />

<Execution ProcessID="568" ThreadID="2376" />

<Channel>Security</Channel>

<Computer>WIN-QBJ3ORTR0CF</Computer>

<Security />

</System>

<EventData>

<Data Name="SubjectUserSid">S-1-0-0</Data>

<Data Name="SubjectUserName">-</Data>

<Data Name="SubjectDomainName">-</Data>

<Data Name="SubjectLogonId">0x0</Data>

<Data Name="TargetUserSid">S-1-0-0</Data>

<Data Name="TargetUserName">ADMINISTRATOR</Data>

<Data Name="TargetDomainName">

</Data>

<Data Name="Status">0xc000006d</Data>

<Data Name="FailureReason">%%2313</Data>

<Data Name="SubStatus">0xc000006a</Data>

<Data Name="LogonType">3</Data>

<Data Name="LogonProcessName">NtLmSsp </Data>

<Data Name="AuthenticationPackageName">NTLM</Data>

<Data Name="WorkstationName">

</Data>

<Data Name="TransmittedServices">-</Data>

<Data Name="LmPackageName">-</Data>

<Data Name="KeyLength">0</Data>

<Data Name="ProcessId">0x0</Data>

<Data Name="ProcessName">-</Data>

<Data Name="IpAddress">-</Data>

<Data Name="IpPort">-</Data>

</EventData>

</Event>

解决方案:

相关推荐
七夜zippoe16 小时前
CANN Runtime任务描述序列化与持久化源码深度解码
大数据·运维·服务器·cann
盟接之桥16 小时前
盟接之桥说制造:引流品 × 利润品,全球电商平台高效产品组合策略(供讨论)
大数据·linux·服务器·网络·人工智能·制造
Fcy64817 小时前
Linux下 进程(一)(冯诺依曼体系、操作系统、进程基本概念与基本操作)
linux·运维·服务器·进程
袁袁袁袁满17 小时前
Linux怎么查看最新下载的文件
linux·运维·服务器
代码游侠17 小时前
学习笔记——设备树基础
linux·运维·开发语言·单片机·算法
主机哥哥18 小时前
阿里云OpenClaw部署全攻略,五种方案助你快速部署!
服务器·阿里云·负载均衡
Harvey90318 小时前
通过 Helm 部署 Nginx 应用的完整标准化步骤
linux·运维·nginx·k8s
珠海西格电力科技19 小时前
微电网能量平衡理论的实现条件在不同场景下有哪些差异?
运维·服务器·网络·人工智能·云计算·智慧城市
释怀不想释怀19 小时前
Linux环境变量
linux·运维·服务器
zzzsde19 小时前
【Linux】进程(4):进程优先级&&调度队列
linux·运维·服务器
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03openclaw配置教程(linux+局域网ollama)04UV安装并设置国内源05Linux下V2Ray安装配置指南06AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南07Claude Code Skills 实用使用手册08OpenClaw Chrome扩展使用教程 - 浏览器中继控制09openclaw使用nginx反代部署过程 与disconnected (1008): pairing required解决10Vue-skills的中文文档