9,506
社区成员
发帖
与我相关
我的任务
分享服务器安全问题求教各位大侠!!!!!满分!!!!!
登录失败:
原因: 用户名未知或密码错误
用户名: guest
域: OA
登录类型: 3
登录过程: NtLmSsp
身份验证程序包: NTLM
工作站名: OA
登录失败:
原因: 用户名未知或密码错误
用户名: database
域: OA
登录类型: 3
登录过程: NtLmSsp
身份验证程序包: NTLM
工作站名: OA
我的服务器开了安全审核,发现每天晚上都有人尝试这样的登陆,而且还有以下的成功通过审核
用户注销:
用户名: ANONYMOUS LOGON
域: NT AUTHORITY
登录 ID: (0x0,0x74BD3)
登录类型: 3
用户注销:
用户名: IUSR_ENTERTOP
域: ENTERTOP
登录 ID: (0x0,0x637CB)
登录类型: 3
为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
IUSR_ENTERTOP
工作站:
ENTERTOP
我的机器做了一些安全设置,关闭了建立空连接,帐号复杂性6位,administrator和sa的密码都很长而且复杂,win2000server打了SP3,SQLSERVER2000打了SP3,装了杀毒软件KV3000,帐号三次错误就锁定20分钟,登陆,对象访问等都做了安全审核,关闭了139端口,停掉了GUEST,用端口扫描器扫描我的服务器,有以下几个端口开放
21,80,135(loc-srv),445(ds),1025(blackjack),1433,12345(netbus)
请教各位安全高手,我怎样才能使我的服务器更安全!!防止别人跑密码??!急!
原因: 用户名未知或密码错误
用户名: guest
域: OA
登录类型: 3
登录过程: NtLmSsp
身份验证程序包: NTLM
工作站名: OA
登录失败:
原因: 用户名未知或密码错误
用户名: database
域: OA
登录类型: 3
登录过程: NtLmSsp
身份验证程序包: NTLM
工作站名: OA
我的服务器开了安全审核,发现每天晚上都有人尝试这样的登陆,而且还有以下的成功通过审核
用户注销:
用户名: ANONYMOUS LOGON
域: NT AUTHORITY
登录 ID: (0x0,0x74BD3)
登录类型: 3
用户注销:
用户名: IUSR_ENTERTOP
域: ENTERTOP
登录 ID: (0x0,0x637CB)
登录类型: 3
为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
IUSR_ENTERTOP
工作站:
ENTERTOP
我的机器做了一些安全设置,关闭了建立空连接,帐号复杂性6位,administrator和sa的密码都很长而且复杂,win2000server打了SP3,SQLSERVER2000打了SP3,装了杀毒软件KV3000,帐号三次错误就锁定20分钟,登陆,对象访问等都做了安全审核,关闭了139端口,停掉了GUEST,用端口扫描器扫描我的服务器,有以下几个端口开放
21,80,135(loc-srv),445(ds),1025(blackjack),1433,12345(netbus)
请教各位安全高手,我怎样才能使我的服务器更安全!!防止别人跑密码??!急!
...全文
请发表友善的回复…
发表回复
elec001 2003-04-26
- 打赏
- 举报
那就在安全策略中设置允许访问的ip地址 这样入侵的人也不知道是哪些地址 应该要安全些
dlhunter 2003-04-25
- 打赏
- 举报
已经在安全策略中禁止枚举SAM帐号了。至于禁止IP地址,如果攻击者伪装IP地址 不就麻烦了吗?!
星期一结帖,欢迎大家都来讨论,共同提高
星期一结帖,欢迎大家都来讨论,共同提高
wuyy 2003-04-25
- 打赏
- 举报
有没有禁止枚举SAM帐号的?
还有,如果可以的话,记录一下访问者的IP,如果是相同的,在网络中禁止该IP地址。
还有,如果可以的话,记录一下访问者的IP,如果是相同的,在网络中禁止该IP地址。
hotseaboy 2003-04-24
- 打赏
- 举报
用防火墙,在服务里把该关掉的服务关掉!
unicoms 2003-04-24
- 打赏
- 举报
up
dlhunter 2003-04-24
- 打赏
- 举报
请教正确配置系统的高招!!to imf2008
drag2003 2003-04-23
- 打赏
- 举报
有,就让他跑吧。
dlhunter 2003-04-23
- 打赏
- 举报
现在我连21,12345端口也关掉了,还是不行,各位赐教!
dlhunter 2003-04-23
- 打赏
- 举报
谢谢楼上的大哥,我重做了系统,而且空连接关闭了,但是每天晚上都有人来造访,我做了一些本地的安全策略设置,拒绝一些用户从网络或从服务登陆,如SYSTEM,ANONYMOUS LOGON,IUSR_site,iwam_site,guest,但是我发现我的安全日志仍有以下的记录,我的机器在远程,我用的远程控制,所以不好调试防火墙,还请各位高手赐教设置方面的高招
删除了用户帐户:
目标帐户名称: IUAR_ENTERTOP
目标域: ENTER
目标帐户 ID: %{S-1-5-21-602162358-2077806209-725345543-1009}
呼叫方用户名: ENTER$
呼叫方所属域: WORKGROUP
呼叫方登录 ID: (0x0,0x3E7)
特权: -
添加了安全策略启动的全局组成员:
成员名称: -
成员 ID: %{S-1-5-21-602162358-2077806209-725345543-1008}
目标帐户名称: None
目标域: ENTER
目标帐户 ID: ENTER\None
呼叫用户名称: ENTER$
呼叫域: WORKGROUP
呼叫者登录 ID: (0x0,0x3E7)
特权: -
删除了用户帐户:
目标帐户名称: IUAR_ENTERTOP
目标域: ENTER
目标帐户 ID: %{S-1-5-21-602162358-2077806209-725345543-1009}
呼叫方用户名: ENTER$
呼叫方所属域: WORKGROUP
呼叫方登录 ID: (0x0,0x3E7)
特权: -
添加了安全策略启动的全局组成员:
成员名称: -
成员 ID: %{S-1-5-21-602162358-2077806209-725345543-1008}
目标帐户名称: None
目标域: ENTER
目标帐户 ID: ENTER\None
呼叫用户名称: ENTER$
呼叫域: WORKGROUP
呼叫者登录 ID: (0x0,0x3E7)
特权: -
lmf2008 2003-04-23
- 打赏
- 举报
哦,不好意思贴错了~~
lmf2008 2003-04-23
- 打赏
- 举报
这个防火墙啊,我觉得这些功能上都差不多的,重要你正确的配置系统,配置防火墙,一般都不会有什么问题~~
要用的话,推荐norton`~
要用的话,推荐norton`~
dlhunter 2003-04-23
- 打赏
- 举报
up
dlhunter 2003-04-21
- 打赏
- 举报
有哪位高手能否赐教?!?!我等了三天了
yzhlinux 2003-04-21
- 打赏
- 举报
这样的日志是很正常的啊,那台机器会没有人访问?
如果日志量不是很大那么你都不用担心,你把空连接关闭了那么密码就已经不能高速的跑了,这样如果担心密码被跑中,那么在你的密码很长的情况下几率比过马路撞死要小
如果日志量不是很大那么你都不用担心,你把空连接关闭了那么密码就已经不能高速的跑了,这样如果担心密码被跑中,那么在你的密码很长的情况下几率比过马路撞死要小
elec001 2003-04-21
- 打赏
- 举报
21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。
135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运行Exchange Server吗?是什么版本?
这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。
1025 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。
-----来自janker
elec001个人认为 12345端口可疑 它是木马netbus的默认端口 杀毒看是否有SysEdit.exe文件
就这么多 我再找找看
135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运行Exchange Server吗?是什么版本?
这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。
1025 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。
-----来自janker
elec001个人认为 12345端口可疑 它是木马netbus的默认端口 杀毒看是否有SysEdit.exe文件
就这么多 我再找找看
dlhunter 2003-04-21
- 打赏
- 举报
up
404page 2003-04-18
- 打赏
- 举报
up
dabster1 2003-04-18
- 打赏
- 举报
up
dlhunter 2003-04-18
- 打赏
- 举报
up
dlhunter 2003-04-17
- 打赏
- 举报
up
加载更多回复(4)
