none
이벤트 4625 - 해킹시도 의심 RRS feed

  • 질문

  • 서버에 누군가가 지속적으로 해킹을 시도하고 있는것 같습니다...

    =====================================================

    계정을 로그온하지 못했습니다.

    주체:
    보안 ID: NULL SID
    계정 이름: -
    계정 도메인: -
    로그온 ID: 0x0

    로그온 유형: 3

    로그온을 실패한 계정:
    보안 ID: NULL SID
    계정 이름: ADMIN
    계정 도메인:

    오류 정보:
    오류 이유: 알 수 없는 사용자 이름 또는 잘못된 암호를 사용했습니다.
    상태: 0xC000006D
    하위 상태: 0xC0000064

    프로세스 정보:
    호출자 프로세스 ID: 0x0
    호출자 프로세스 이름: -

    네트워크 정보:
    워크스테이션 이름:
    원본 네트워크 주소: -
    원본 포트: -

    인증 세부 정보:
    로그온 프로세스: NtLmSsp 
    인증 패키지: NTLM
    전송된 서비스: -
    패키지 이름(NTLM 전용): -
    키 길이: 0

    이 이벤트는 로그온 요청이 실패할 때 액세스하려고 했던 컴퓨터에 생성됩니다.

    주체 필드는 로그온을 요청한 로컬 시스템의 계정을 나타냅니다. 이것은 주로 서버 서비스와 같은 서비스 또는 Winlogon.exe나 Services.exe와 같은 로컬 프로세스입니다.

    로그온 유형 필드는 요청한 로그온의 유형을 나타냅니다. 가장 일반적인 유형은 2(대화식)와 3(네트워크)입니다.

    프로세스 정보 필드는 시스템에서 로그온을 요청한 계정과 프로세스를 나타냅니다.

    네트워크 정보 필드는 원격 로그온 요청이 시작된 위치를 나타냅니다. 워크스테이션 이름은 항상 사용할 수 있는 것은 아니며 어떤 경우에는 비워 둘 수도 있습니다.

    인증 정보 필드는 이 특정 로그온 요청에 대한 자세한 정보를 제공합니다.
    - 전송된 서비스는 이 로그온 요청과 관련된 중간 서비스를 나타냅니다.
    - 패키지 이름은 NTLM 프로토콜 간에 사용된 하위 프로토콜을 나타냅니다.
    - 키 길이는 생성된 세션 키의 길이를 나타냅니다. 이 값은 요청된 세션 키가 없으면 0이 됩니다.

    =====================================================

    이런 부분은 어떻게 대처를 해야하는지 궁금합니다.

    2018년 5월 28일 월요일 오전 8:27

답변