none
윈도우즈 로그 4625와 관련하여 해킹이슈 RRS feed

  • 질문

  • 윈도우즈 로그 보안에서 감사실패 이벤트 4625가 지속적으로 발생하고 있어 질문드립니다.

    제 판단으로는 외부 해킹시도로 보입니다만 전문가의 의견과 해킹이라면 대응 방안이 궁금합니다.

    (보안백신 설치 및 차단을 위한 조치방법 등)

    아래는 해당 이슈와 관련한 이벤트 로그 입니다.

    계정을 로그온하지 못했습니다.

    주체:
     보안 ID:  NULL SID
     계정 이름:  -
     계정 도메인:  -
     로그온 ID:  0x0

    로그온 유형:   3

    로그온을 실패한 계정:
     보안 ID:  NULL SID
     계정 이름:  ADMINISTRATOR
     계정 도메인:  

    오류 정보:
     오류 이유:  알 수 없는 사용자 이름 또는 잘못된 암호를 사용했습니다.
     상태:   0xC000006D
     하위 상태:  0xC000006A

    프로세스 정보:
     호출자 프로세스 ID: 0x0
     호출자 프로세스 이름: -

    네트워크 정보:
     워크스테이션 이름: -
     원본 네트워크 주소: 218.22.27.66
     원본 포트:  0

    인증 세부 정보:
     로그온 프로세스:  NtLmSsp
     인증 패키지: NTLM
     전송된 서비스: -
     패키지 이름(NTLM 전용): -
     키 길이:  0

    네트워크 정보에서 [218.22.27.66]과 [5.104.107.7]로 로그인이 시도되고 있습니다..

    도움 부탁드립니다 ㅠ

    2017년 7월 6일 목요일 오전 5:25

답변

  • 안녕하세요. 김준우님.

    공유주신 로그를 확인해보면 ADMINISTRATOR계정으로 잘못된 비밀번호 로그온 시도한 경우입니다. 
    이 경우 다양한 방법이 있겠지만 우선 윈도우 자체로도 가능한 방법이 있어서 참고하시기 바랍니다.  
    1) 컴퓨터관리 콘솔 실행(시작>프로그램 및 파일 찾기 란에 compmgmt.msc)
    2) 로컬 사용자 및 그룹> 사용자에서 사용자 계정 신규 생성 
    3) 로컬 사용자 및 그룹> 그룹 > Administrators 에서 2)에서 생성한 계정 추가
    4) 로그오프 한 다음에 2)의 계정으로 접속
    5) 컴퓨터관리>로컬 사용자 및 그룹> 사용자 중 administrator를 체크하고 우측마우스 '사용안함'.
    • 답변으로 제안됨 100Panda 2017년 7월 22일 토요일 오전 11:39
    • 답변으로 표시됨 Boram YiModerator 2017년 7월 28일 금요일 오전 4:39
    2017년 7월 14일 금요일 오전 7:33