iT邦幫忙

0

一直被攻擊,防火牆沒有針測到,還有什麼方式可以查到或封鎖呢

  • 分享至 

  • xImage

主機這二天一直有這個訊息,如下,在防火牆一直查不到,大約3~5分鐘就攻擊4~5次
,但把smtp服務拿掉,訊息就停止了,但信也進不來出不去,我還有什麼方式可以封鎖它呢?
感覺是沒有經過我的防火牆就連到主機在試密碼和帳號,syslog裡沒有連續攻擊的ip

防火牆是fg-80c
主機是windows server SBS 2003,exchange 2003

***********************************
事件類型: 稽核失敗
事件來源: Security
事件類別目錄: 登入/登出
事件識別碼: 529
日期: 2014/2/7
時間: 下午 03:19:51
使用者: NT AUTHORITY\SYSTEM
電腦: xxxxxx
描述:
登入失敗:
原因: 使用者名稱不明或密碼錯誤
使用者名稱: compaq
網域:
登入類型: 3
登入處理: Advapi
驗證封裝: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名稱: xxxxxx
呼叫者使用者名稱: xxxxxx$
呼叫者網域: xxxxxx
呼叫者登入識別碼: (0x0,0x3E7)
呼叫者處理識別碼: 1652
轉送的服務: -
來源網路位址: -
來源連接埠: -
***************************************

一分攻擊4次,約六分就攻擊,每次ip不一樣,若這樣設定一天下來ip會很多,有沒有其他方式可以阻擋



中間加Anti-Spam設備

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

16
林門神JanusLin
iT邦超人 1 級 ‧ 2014-02-07 16:38:03
最佳解答

1.fg-80c外拋syslog
2.Exchange開啟SMTP log
查以上的兩個log files就可以了

封鎖

1.fg-80c可以擋ip
2.Exchnage也可以拒絕IP存取

看更多先前的回應...收起先前的回應...
CalvinKuo iT邦大師 7 級 ‧ 2014-02-07 16:48:10 檢舉

FG-80C 不是有IPS嗎? 為啥放著不用阿....

CalvinKuo iT邦大師 7 級 ‧ 2014-02-07 16:59:08 檢舉

若打開IPS也沒啥Log,那就打開應用程式控制
記得選取的要把封包紀錄勾選 (Log會很大...)
慢慢查吧...

ips要花錢買, 搞不好攻擊來自內部fortigate就查不到了

wenchan iT邦新手 5 級 ‧ 2014-02-10 11:40:51 檢舉

iT邦幫忙MVPjanuslin提到:
外拋syslog

,有下載來看,但就是沒看到有連續攻擊的ip,ips原本就有設定了
,應用程式控制我是設定那一個?

wenchan iT邦新手 5 級 ‧ 2014-02-10 15:42:37 檢舉

有開SMTP應用程式控制的封包記錄,是有抓到IP,但都來自不同國家的IP,這該怎麼辦??

別人寄信給你也是要用SMTP
如果可以分辨是正常或是攻擊
攻擊的IP就在FG或是Exchange設定阻擋IP

wenchan iT邦新手 5 級 ‧ 2014-02-17 08:26:04 檢舉

一分攻擊4次,約六分就攻擊,每次ip不一樣,若這樣設定一天下來ip會很多,有沒有其他方式可以阻擋

4
yc1333
iT邦新手 4 級 ‧ 2014-02-08 15:35:12

電腦:xxxxxx 與 工作站名稱:xxxxxx 的xxxxxx 若是一樣,有可能是呼叫者處理識別碼: 1652(瞧瞧工作管理員) 這個本機的程式, 使用compaq 帳號登入本機的resource時,密碼有誤。

wenchan iT邦新手 5 級 ‧ 2014-02-10 11:42:03 檢舉

yc1333提到:
有可能是呼叫者處理識別碼: 1652(瞧瞧工作管理員) 這個本機的程式

,有查到是這支程式inetinfo,它一直用不同的帳號在登入本機

我要發表回答

立即登入回答