Cómo solucionar el error de auditoría en nuestro servidor web

1

Notamos que estamos obteniendo los siguientes registros de fallas de auditoría en nuestro servidor web. La estación de trabajo no está en nuestra red.

¿Puede alguien ayudarme a aislar y evitar que esto suceda?

No se pudo iniciar sesión en una cuenta.

Asunto:

Security ID:        NULL SID
Account Name:       -
Account Domain:     -
Logon ID:       0x0

Logon Type:         3

Cuenta para la cual falló el inicio de sesión:

Security ID:        NULL SID
Account Name:       db2admin
Account Domain:     SAYNAMY-4BF9DFF

Información de error:

Failure Reason:     Unknown user name or bad password.
Status:         0xc000006d
Sub Status:     0xc0000064

Información del proceso:

Caller Process ID:  0x0
Caller Process Name:    -

Información de la red:

Workstation Name:   SAYNAMY-4BF9DFF
Source Network Address: 37.220.1.6
Source Port:        1046

Información de autenticación detallada:

Logon Process:      NtLmSsp 
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only):   -
Key Length:     0
    
pregunta Sherry 12.07.2012 - 08:29
fuente

1 respuesta

2

Parece que puedes ser víctima de un ataque dirigido o de un simple script de ataque infantil. Básicamente, alguien (SAYNAMY - 37.220.1.6) está intentando autenticarse con el nombre de usuario de administrador de DB2 conocido en su servidor. A continuación un extracto de búsqueda de RIPE:

inetnum:        37.220.1.0 - 37.220.1.63
netname:        RSDEDI-OJEJMBME
descr:          Dedicated Server Hosting
country:        GB
remarks:        ABUSE REPORTS: [email protected]

Preguntas importantes:

  • ¿Está ejecutando DB2 en el servidor afectado?
  • ¿Puede hacer un seguimiento de otras solicitudes de esa IP en su red mirando, por ejemplo, registros de firewall?

Si desea solucionar este problema, simplemente bloquearía esta dirección IP en el firewall y la falla de auditoría de esta IP ya no debería llegar.

Para bloquear la dirección IP en la propia interfaz de los servidores, puede usar la línea de comandos de Windows de esta manera:

netsh advfirewall firewall add rule name=[NAME HERE] dir=out interface=any 
action=block remoteip=[IP HERE]/32
    
respondido por el Chris Dale 12.07.2012 - 09:07
fuente

Lea otras preguntas en las etiquetas