Зависание сервера - Просмотр событий на сервере
У нас возникают проблемы с нашим выделенным сервером, где он довольно часто зависает (иногда в пространстве через несколько часов после цикла питания).
Я посмотрел в окне просмотра событий и в разделе SYSTEM были записаны тысячи событий. Наиболее распространенным событием является ID: 1012 "Удаленный сеанс с именем клиента a превысил максимально допустимые неудачные попытки входа в систему. Сеанс был принудительно прерван".
Я не слишком знаком со всей терминологией, но означает ли это, что хакеры пытались войти в систему?
Это событие появляется каждые 7 секунд в течение нескольких часов, а затем наступает период, когда оно прекращается, но через несколько часов оно начинается снова.
Другим преобладающим событием является идентификатор: 100 "серверу не удалось войти в учетную запись Windows NT" ADMINISTRATOR "из-за следующей ошибки: Ошибка входа: неизвестное имя пользователя или неверный пароль"
Я вижу их в списке секунд после друг друга.
Это еще одна проблема взлома?
Эти события используют мой сервер оперативной памяти, а затем в конечном итоге сервер не может работать, заставляя его зависать?
Кстати, у нас работает Windows 2003.
* Помните, я не слишком знаком со всей терминологией, поэтому, если бы вы могли объяснить с точки зрения непрофессионала, я был бы признателен.
2 ответа
Похоже, удаленный рабочий стол подключен к Интернету, и вы видите результаты неудачных попыток входа в систему.
Я бы посоветовал привлечь кого-то с опытом работы в сети, чтобы взглянуть на ваши настройки. Если ваш сервер подключен к Интернету без включенного брандмауэра и периметрального брандмауэра, это может привести к катастрофе.
Трудно сказать наверняка, не зная спецификаций сервера, но чрезмерные попытки подключения или сеансы могут сломать сервер, да. И это звучит так, как будто кто-то проводит атаку грубой силой на ваш сервер (очевидно, со скриптом).
Я бы посоветовал:
1) Изменение имени пользователя учетной записи администратора на значение, отличное от значения по умолчанию. (Например, вы могли бы использовать изобретателя Linux "LinusTorvalds" в качестве имени пользователя локального администратора.) Выбор чего-то необычного для имени пользователя в основном устранит шансы того, что злоумышленник сможет угадать свой путь к административному доступу.
2) Узнайте, какие IP-адреса делают эти запросы (должны быть в той же записи журнала, что и сбой безопасности), и заблокируйте их. Я забываю, как это сделать с помощью брандмауэра Windows Server / Windows XP, но ознакомьтесь с руководством Technet. ( http://technet.microsoft.com/en-us/library/cc778148%28v=ws.10%29.aspx) Это должно помочь снизить нагрузку на сервер и предотвратить сбой вашего сервера.
3) Установите [аппаратный] брандмауэр перед вашим сервером, и кто-то, кто знает, как правильно его настроить. Вы уже видели, как кто-то пытается получить доступ к вашему серверу через RDP каждые 7 секунд, и количество атак по более распространенным протоколам, обращающимся к сети (http, ftp, ssh и т. Д.), Вероятно, будет намного выше., Защита RDP не принесет вам пользы, если вы уязвимы по другому протоколу.