网吧服务器日志ID:4672、4624和4625事件

几家网吧出现了一起事件,非常奇怪,出现4672的系统事件,帐户名为system。如下

为新登录分配了特殊权限。
使用者:
安全 ID: SYSTEM
帐户名: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3E7
特权: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege

这些操作详细信息参考微软官方:4672 (S) 分配给新登录的特权

同样官方也有一个帖子说这个是正常的:

请问事件ID4672特殊登录是什么意思?

Windows10 系统日志安全记录里面不断出现事件ID为4672特殊登录,请问这是什么情况?

紧接着下一个是登录成功日志ID:4624,如下:

已成功登录帐户。
使用者:
安全 ID: SYSTEM
帐户名称: ISO9000-E1KRHC5$
帐户域: WORKGROUP
登录 ID: 0x3E7

登录信息:
登录类型: 5
受限制的管理员模式: -
虚拟帐户: 否
提升的令牌: 是

模拟级别: 模拟

新登录:
安全 ID: SYSTEM
帐户名称: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3E7
链接的登录 ID: 0x0
网络帐户名称: -
网络帐户域: -
登录 GUID: {00000000-0000-0000-0000-000000000000}

进程信息:
进程 ID: 0x564
进程名称: C:\Windows\System32\services.exe

网络信息:
工作站名称: -
源网络地址: -
源端口: -

详细的身份验证信息:
登录进程: Advapi 
身份验证数据包: Negotiate
传递的服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

创建登录会话时,将在被访问的计算机上生成此事件。

“使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。

“新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。

“网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。

“模拟级别”字段指示登录会话中的进程可以模拟到的程度。

“身份验证信息”字段提供有关此特定登录请求的详细信息。
- “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。
-“传递的服务”指示哪些中间服务参与了此登录请求。
-“数据包名”指示在 NTLM 协议中使用了哪些子协议。
-“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。

Windows应急日志常用的几个事件ID

系统:
1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。

安全:
4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
4625,这个事件ID表示登陆失败的用户。
4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。

看了一下其他网吧不同密码的服务器日志,看到端口已经被破了,但是这个密码没泄露,很奇怪,这个没被攻破的服务器日志一直有账户登录,IP为广东佛山,日志ID:4625,这个是使用ntlmssp攻击导致的。详细如下:

帐户登录失败。

使用者:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0

登录类型: 3

登录失败的帐户:
安全 ID: NULL SID
帐户名: ADMINISTRATOR
帐户域: 

失败信息:
失败原因: 未知用户名或密码错误。
状态: 0xC000006D
子状态: 0xC000006A

进程信息:
调用方进程 ID: 0x0
调用方进程名: -

网络信息:
工作站名: -
源网络地址: 112.90.156.66
源端口: 0

详细身份验证信息:
登录进程: NtLmSsp 
身份验证数据包: NTLM
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

登录请求失败时在尝试访问的计算机上生成此事件。

“使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“传递服务”指明哪些直接服务参与了此登录请求。
-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。

4625(F) 帐户登录失败

目前确定日志ID:4625是被远程扫描到mstsc端口后撞库攻击,但是可以确认的是没有成功,还是建议更改一下administrator的默认账户,密码虽然可以撞库,但是账户撞库的几率是非常低的。

解决方法

具体操作参考 无来源ip的RDP爆破防御对策小记

通过注册表禁用Tls1.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server

项中新建一个名为Enabled的DWORD,值设置为0。 为了避免不必要的麻烦,设置好后我进行了重启。

效果

禁用TLS1.0后,再去查看事件,发现已经由原先的140事件,变为了139事件,描述为服务器安全层在协议流中检测到一个错误(0x80090304),并中断了客户端连接(客户端 IP:45.145.64.5)。,攻击方的一次尝试也不能成功了!

赞(1) 打赏
转载请注明出处:EasySupport | 易速 » 网吧服务器日志ID:4672、4624和4625事件
分享到: 更多 (0)

评论 抢沙发

评论前必须登录!

 



觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏