none
Attaque bruteforce en cours "Security Audit faillure" RRS feed

  • Question

  • Bonjour,

    Je subis actuellement une attaque bruteforce NTLM , en effet j'ai des centaines de "Audit faillure" avec une tentative de connexion infructueuses de "Administrator" puis "Admin" puis "Administrateur"

    Vu le mot de passe de Administrator, le bruteforce n'est pas pres de trouver mais le souci est que je ne comprend pas par ou il entre, le serveur est en frontal sur internet (serveur web port 443)

    le 389 n'est pas ouvert, le 3389 est ouvert a mon IP seulement mais j'ai toujours les "audit faillure"

    Dans les logs de "security" :

    An account failed to log on.
    
    Subject:
    	Security ID:		NULL SID
    	Account Name:		-
    	Account Domain:		-
    	Logon ID:		0x0
    
    Logon Type:			3
    
    Account For Which Logon Failed:
    	Security ID:		NULL SID
    	Account Name:		ADMINISTRATOR
    	Account Domain:		
    
    Failure Information:
    	Failure Reason:		Unknown user name or bad password.
    	Status:			0xC000006D
    	Sub Status:		0xC000006A
    
    Process Information:
    	Caller Process ID:	0x0
    	Caller Process Name:	-
    
    Network Information:
    	Workstation Name:	-
    	Source Network Address:	127.0.0.1
    	Source Port:		0
    
    Detailed Authentication Information:
    	Logon Process:		NtLmSsp 
    	Authentication Package:	NTLM
    	Transited Services:	-
    	Package Name (NTLM only):	-
    	Key Length:		0
    



    Dans les logs de "Application and Service Logs > Microsoft > Windows> > RemoteDesktopServices-RdpCoreTS > Operational"

    A connection from the client computer with an IP address of 127.0.0.1 failed because the user name or password is not correct.

    J'ai fais des analyses, pas de virus

    Pas de port... ip localhost... je ne sais pas ou chercher

    Merci d'avance !


    jeudi 28 novembre 2019 13:49

Réponses

  • Finalement j'avais stoppé cette attaque en modifiant une GPO :

    Configuration Ordinateur > Modèles d’administration > Composants Windows > Service Bureau à distance > Hôte de la session Bureau à distance > Sécurité.

    Activer « Nécessite l'utilisation d'une couche de sécurité spécifique pour les connexions distantes (RDP) » à configurer sur « RDP »

    • Marqué comme réponse max393 mardi 3 décembre 2019 15:56
    mardi 3 décembre 2019 15:56

Toutes les réponses