전산직을 맡게 된지 얼마 안 된 신입입니다.
아직 서버에 대해서 공부 중이라 잘 모르다보니 이렇게 질문을 올려봅니다.
윈도우 2008 서버를 사용 중인데요.
서버에서 계속 4625 이벤트가 초 단위로 계속 올라오는 터라 이게 왜 올라오는 지 상황을 모르겠어서 질문글을 올려봅니다.
계정이름은 이벤트마다 ADMIN, ADMINISTARATOR, ASIA 등으로 계속 바뀌고 있는 상황이구요.
로그온 유형은 모두 3번입니다. 3번의 경우 원격으로 접속한다고 하는 데
서버에서 MES가 돌아가고 있는 상황인데 이 것 때문에 이 로그가 쌓이는 걸까요? 그런데 이게 이유라면 계정이름이 주기적으로 바뀌는 이유를 모르겠습니다. 현재 저희 서버에 없는 계정인 USER3, WANGJINCHENG, JULIA 같은 이상한 계정명도 종종 보이는 편이구요.
초단위로 올라오다보니 얼마 되지도 않아 로그가 몇천개 가량 쌓이고 있는 상황입니다.
이거 혹시 브루트 포스 공격으로 생각해도 되려나요? 포트나 아이피가 보이지 않는 상황이라 어떤 방식으로 막아야 할지 모르겠습니다.
현재 프로그램 호환성 문제로 서버 윈도우 방화벽이 열려있는 상황인데요. 윈도우 방화벽을 활성화 시키고 이 상황을 막는 게 옳은 걸까요?
그리고 서버에도 일반적인 기업용 백신을 깔아도 괜찮은가요? 아니면 서버 전용 백신이 따로 있는 건가요?
백신도 깔려있지 않은 상황이라 불안한 점이 많네요;;
아직 초보 전산인이다보니 질문이 많습니다. ㅠ.ㅠ
주체:
보안 ID: NULL SID
계정 이름: -
계정 도메인: -
로그온 ID: 0x0
로그온 유형: 3
로그온을 실패한 계정:
보안 ID: NULL SID
계정 이름: WANGJINCHENG
계정 도메인:
오류 정보:
오류 이유: 알 수 없는 사용자 이름 또는 잘못된 암호를 사용했습니다.
상태: 0xc000006d
하위 상태: 0xc000006a
프로세스 정보:
호출자 프로세스 ID: 0x0
호출자 프로세스 이름: -
네트워크 정보:
워크스테이션 이름: MSTSC
원본 네트워크 주소: -
원본 포트: -
인증 세부 정보:
로그온 프로세스: NtLmSsp
인증 패키지: NTLM
전송된 서비스: -
패키지 이름(NTLM 전용): -
키 길이: 0
2개의 답변이 있습니다.
해커들이 포트스캔해서 3389(MSTSC) 포트 열려있는 서버에
계정 탈취할려고 가장 일반적인 계정명으로 비번을 바꿔가며 로그인 시도 하는겁니다.
2. 일단 MES 시스템이 외부 오픈되어있는 이유는??
레포팅 용도 신건가요?
3. 방법
- 기본 계정인 Administrator 계정명을 다른 이름으로 바꾸시면, 로그는 떠도 위험하지는 않습니다. 당연히 위의 3개 계정명을 만드시면 안되구요.
- MSTS 포트를 기본 포트가 아닌 다른 포트로 바꿔 보세요(완전히 막을수 있는 방법은 아닙니다.)
- 가장 확실한 방법은 방화벽에서 MSTSC 포트를 막고 접속이 필요한 IP만 허용을 해주면 됩니다.(윈도우 방화벽은 잘못 만지면 곤란한 상황이 생길수 있으니 개발에서 테스트 해보시고 하세요)
외부로 오픈되어있는 서비스들은 신경을 많이 쓰셔야 합니다.
MES 운영하시는것보니까 제조쪽 회사실테고 내부분 인트라넷 서비스이다보니
외부 서비스 서버에 대해서는 취약 할수 밖에 없죠.
외부 오픈되어 있는 서버들을 클라우드로 전환 하시면 많이 도움이 되고
어쨋든 좀더 신경 쓰셔야 해요.
MSSQL 외부로 오픈 해놓으면 sa 계정으로 무한 접근 시도 한답니다.
2008 서버가 인터넷에 노출되어 있는 상황인가 보네요.
서버용 백신과 일반 PC용 백신이 구분되어 있어 PC용 백신은 서버에서 작동되지 않는 경향이 있고요.
지금과 같은 상황에서는 백신이 별 도움이 안될거 같다는 생각이 드네요.
로긴 시도하는 ip를 확인해서 방화벽에서 차단시키는게 간단한 방법이지 않을까 싶네요.