過了一個年假,結果大陸廠數台Server都被駭~
雖不是我管轄範圍,但因對岸MIS完全新手,我只好協助解決
目前大多伺服器已恢復運作,但仍發現有用戶端被駭,不斷在try伺服器的帳號密碼,
我想詢問是否有方法可以先從Server來自動封鎖一些不斷測試帳密的IP?
而在解決用戶端問題後再解除封鎖。
系統有Server 2003/2008、內網IP多是固定 已知是某高級主管被駭Orz
外網無硬體防火牆,只有小型路由器Orz 有開放遠端桌面以方便我連線協助
以下是安全事件內容,謝謝
登录失败的帐户:
安全 ID: NULL SID
帐户名: user4(還有a 及 administrator 系統沒user4及a帳號)
帐户域: CHONG1YOU (還有另一用戶)
失败信息:
失败原因: 未知用户名或密码错误。
IpAddress 192.168.1.57 IpPort 3975
已邀請的邦友 {{ invite_list.length }}/5
封鎖IP,如果使用DHCP的話,恐怕你還是會很累的..
試試封鎖Mac Address..請參考下列的作法...
http://www.tadpole.net.tw/2011/02/m-windows-dhcp-server-mac-address.html
祝你成功...
大部份遇到的情況是,內網用戶被駭安裝了惡意程式在測試帳戶(經常造成大部份用戶被鎖定).
從主機EVENT找到異常的電腦, 隔離清除惡意程式.
PS.可以先確認登入類型是什麼,來推斷來源.
iThome鐵人賽
看影片追技術