服务器

服务器】服务器上大量的ID为4625的审核失败日志

2021-05-17 10:24发布

站内问答 / 网络安全
2313 2 3
发送
2条回答
yjh
2楼 · 2021-05-17 10:48

这种叫做无尽尝试,就是一直使用各种密码破解登陆,也可能某些内网人无意,但是电脑可能也中了某些APP类似的病毒模拟登陆或者直接说就是病毒在尝试,这种在windows系统服务上很常见,最多的是尝试3389(远程登陆)、1433(MSSQL-SA)、3306(mysql的root)的这些总账户的弱密码尝试

722
3楼 · 2021-05-17 11:37

服务器为windows2008r2,名为hx2017,局域网中没有域
服务器有IIS,SQLSERVER(有订阅和发布服务),另外还有一个只读权限的共享文件夹
日志中大量的审核失败,工作站名有本机也有其他客户端
请问这是什么原因?有什么处理办法吗?

复制内容到剪贴板

代码:

日志名称: Security
来源: Microsoft-Windows-Security-Auditing
日期: 2020/12/9 9:09:01
事件 ID: 4625
任务类别: 登录
级别: 信息
关键字: 审核失败
用户: 暂缺
计算机: hx2017
描述:
帐户登录失败。

主题:
安全 ID:        SYSTEM
帐户名:        HX2017$
帐户域:        WORKGROUP
登录 ID:        0x3e7

登录类型:        7

登录失败的帐户:
安全 ID:        NULL SID
帐户名:        Administrator
帐户域:        HX2017

失败信息:
失败原因:        未知用户名或密码错误。
状态:        0xc000006d
子状态:        0xc000006a

进程信息:
调用方进程 ID:        0x1b68
调用方进程名:        C:\Windows\System32\LogonUI.exe

网络信息:
工作站名:        HX2017
源网络地址:        -
源端口:        -

详细身份验证信息:
登录进程:        Advapi 
身份验证数据包:        Negotiate
传递服务:        -
数据包名(仅限 NTLM):        -
密钥长度:        0

登录请求失败时在尝试访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“传递服务”指明哪些直接服务参与了此登录请求。
-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。
事件 Xml:



4625
0
0
12544
0
0x8010000000000000

658182


Security
hx2017



S-1-5-18
HX2017[code]日志名称: Security
来源: Microsoft-Windows-Security-Auditing
日期: 2020/12/9 9:09:01
事件 ID: 4625
任务类别: 登录
级别: 信息
关键字: 审核失败
用户: 暂缺
计算机: hx2017
描述:
帐户登录失败。

主题:
安全 ID:        SYSTEM
帐户名:        HX2017$
帐户域:        WORKGROUP
登录 ID:        0x3e7

登录类型:        7

登录失败的帐户:
安全 ID:        NULL SID
帐户名:        Administrator
帐户域:        HX2017

失败信息:
失败原因:        未知用户名或密码错误。
状态:        0xc000006d
子状态:        0xc000006a

进程信息:
调用方进程 ID:        0x1b68
调用方进程名:        C:\Windows\System32\LogonUI.exe

网络信息:
工作站名:        HX2017
源网络地址:        -
源端口:        -

详细身份验证信息:
登录进程:        Advapi 
身份验证数据包:        Negotiate
传递服务:        -
数据包名(仅限 NTLM):        -
密钥长度:        0

登录请求失败时在尝试访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“传递服务”指明哪些直接服务参与了此登录请求。
-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。
事件 Xml:



4625
0
0
12544
0
0x8010000000000000

658182


Security
hx2017



S-1-5-18
HX2017[        DISCUZ_CODE_0        ]lt;/Data>
WORKGROUP
0x3e7
S-1-0-0
Administrator
HX2017
0xc000006d
%#13
0xc000006a
7
Advapi
Negotiate
HX2017
-
-
0
0x1b68
C:\Windows\System32\LogonUI.exe
-
-

lt;/Data>
WORKGROUP
0x3e7
S-1-0-0
Administrator
HX2017
0xc000006d
%#13
0xc000006a
7
Advapi
Negotiate
HX2017
-
-
0
0x1b68
C:\Windows\System32\LogonUI.exe
-
-

[/code]

  •  微信图片_20201209093042.png (40.75 KB)

  • 2020-12-9 09:36

    微信图片_20201209093042.png


相关问题推荐

  • 网站服务器更换对seo影响吗?如何避免或者降低影响服务器 2021-05-17 10:20
    回答 3

    所有的网站都存在服务器当中,服务器本身的地区、网速、空间大小等多方面的因素影响网站的打开速度、运行和优化的结果。那么,网站更换服务器的影响有哪些?如何降低影响?接下来2898站长资源平台小编就跟大家分享下网站更换服务器的影响的相关内容,一起来看看...

  • 目前市场上的云服务器很多,怎么选择服务器 2021-04-23 14:32
    回答 3
    已采纳

    云服务器品牌众多,群英提醒大家在选购时需留意以下几点:1.服务器品牌:出众品牌的服务器,有着硬件上的优质保障,使用起来更加顺畅和满意。2.服务器性能:留意选购的服务器是否为当前最为热门、最新、最高端的型号与配置。3.防御能力:目前同行之间的竞争日...

  • 怎么选择优秀的服务器?服务器 2020-05-19 09:22
    回答 1

    互联网时代的到来,各行各业都选择网上营销做生意,就必然要选择一台服务器,可是自己弄服务器和维护成本又太大了,所以多数站长都会选择租一台服务器,现在服务器租用种类也是多种多样,用户如何正确识别高防服务器呢?高防的机房硬件防火墙设备起码在10G以上...

  • 如何在js中调用php?服务器 2020-03-20 22:52
    回答 2
    已采纳

    在js文件中可以通过http request方式(比如js中的ajax请求)触发php方法并得到response信息以下是php文件中代码:// index.php$name = $_POST[name];$password = $_POST[password];$result = loginUser($name, $password);echo $result;?>以下是在html页面中...

  • 为何我觉得 Windows 系统用久会变慢,而 LLinux 服务器 2020-03-20 19:26
    回答 5

    Linux的内核设计的机制更加优秀,对内存以及文件系统的管理效率更好。

没有解决我的问题,去提问