윈도우 보안 이벤트에  이벤트 아이디 4625가  5초 단위로 계속 생성됩니다.


누군가 봇 돌리는거 같은데 방화벽에서 포트를 막을려고 하는데 어느 경노로 접속하는지 알수가 없네요


찾아본 내용은 로그온 유형 3 이 네트워크 , iis 접속이라는데...어떻게 접속시도 하는지 모르겠네요


방화벽에 열린 서비스는 dns, http, ftp(이건 ip대역으로 지정됨), 원격데스크탑( 1개 아이피만 지정됨), smtp 

이것밖에 없는데 혹시 막는 방법 아시는분 알려주세요

( administrator 계정은 사용불가로 되어 있음)

(ipsec 으로 접속 ip 를 막는것도 한계가 있더군요 매번 접속시도 ip가 바뀌니..)



추가로  이벤트 내용중 "이 이벤트는 로그온 요청이 실패할 때 액세스하려고 했던 컴퓨터에 생성됩니다."  라고 

되어 있는데 이건 해석이 잘못된건지 제가 이해를 잘못한건지 접속하려했는 서버에 로그가 생긴다는

의미로 보여서 마치 내 서버가 다른 서버에 접속을 시도 하고 있는것 처럼 보이네요... 


이벤트로그 내용

===============================

계정을 로그온하지 못했습니다.


주체:

보안 ID: NULL SID

계정 이름: -

계정 도메인: -

로그온 ID: 0x0


로그온 유형: 3


로그온을 실패한 계정:

보안 ID: NULL SID

계정 이름: Administrator

계정 도메인: 96BEA299442B411


오류 정보:

오류 이유: 알 수 없는 사용자 이름 또는 잘못된 암호를 사용했습니다.

상태: 0xc000006d

하위 상태: 0xc000006a


프로세스 정보:

호출자 프로세스 ID: 0x0

호출자 프로세스 이름: -


네트워크 정보:

워크스테이션 이름: 96BEA299442B411

원본 네트워크 주소: 61.147.70.142

원본 포트: 1318


인증 세부 정보:

로그온 프로세스: NtLmSsp 

인증 패키지: NTLM

전송된 서비스: -

패키지 이름(NTLM 전용): -

키 길이: 0


이 이벤트는 로그온 요청이 실패할 때 액세스하려고 했던 컴퓨터에 생성됩니다.


주체 필드는 로그온을 요청한 로컬 시스템의 계정을 나타냅니다. 이것은 주로 서버 서비스와 같은 서비스 또는 Winlogon.exe나 Services.exe와 같은 로컬 프로세스입니다.


로그온 유형 필드는 요청한 로그온의 유형을 나타냅니다. 가장 일반적인 유형은 2(대화식)와 3(네트워크)입니다.


프로세스 정보 필드는 시스템에서 로그온을 요청한 계정과 프로세스를 나타냅니다.


네트워크 정보 필드는 원격 로그온 요청이 시작된 위치를 나타냅니다. 워크스테이션 이름은 항상 사용할 수 있는 것은 아니며 어떤 경우에는 비워 둘 수도 있습니다.


인증 정보 필드는 이 특정 로그온 요청에 대한 자세한 정보를 제공합니다.

- 전송된 서비스는 이 로그온 요청과 관련된 중간 서비스를 나타냅니다.

- 패키지 이름은 NTLM 프로토콜 간에 사용된 하위 프로토콜을 나타냅니다.

- 키 길이는 생성된 세션 키의 길이를 나타냅니다. 이 값은 요청된 세션 키가 없으면 0이 됩니다.

No. Subject Author Date Views
Notice SQL강좌: 챗GPT와 함께 배우는 SQL Server 무료 강좌 목차와 소개 (2023년 9월 업데이트) 코난(김대우) 2023.08.18 32239
Notice Python 무료 강좌 - 기초, 중급, 머신러닝(2023년 6월 업데이트) 코난(김대우) 2021.01.01 16380
620 iis에서 오류페이지를 사용자오류페이지로하면 일부 페이지가 멈춰요 jj 2016.06.09 3083
619 "심각한 실행 엔진 오류"발생후 Application Error -> 응용프로그램 풀 중지 훈치리 2016.06.07 3531
618 PowerShell관련 질문사항입니다. limsajang 2016.05.24 2934
617 웹로그 관리 스크립트 질문 드립니다. [5] 김철갑수 2016.05.10 3946
616 무선 공유기 에서 고정 IP 설정 관련 질문 드립니다. [3] pertime 2016.04.29 3799
615 그룹 정책에 관한 오류 문제 [1] 종이컵 2016.04.26 3228
614 2008 R2 Blue Screen 분석 요청 [2] aaron111 2016.04.26 3469
» 지속적인 접속시도 막는 방법 있나요? [2] ak 2016.04.08 6390
612 다중네트워크 질문요.. [1] 큘러 2016.03.09 4099
611 dns 설정 질문 드립니다. [2] 담덕 2016.03.08 4190
610 멀티 사이트 ssl 443 사용 설정하기 질문입니다. [2] 애셋~ 2016.03.07 4745
609 웹서버와 DB서버를 한대의 서버로 동시에 사용할때 생길수있는 이슈가 있을까요? [2] 뽀구 2016.02.05 4299
608 페이지 오류 [1] 컹컹 2016.02.04 5177
607 insecure Component-microsoft-iis 7.5 경고... 애셋~ 2016.02.03 4299
606 windows server 2008 이벤트뷰어 오류에 대해 천운 2016.01.22 5886
605 가입인사겸 질문 드립니다.. 제다이마스터 2016.01.14 3619
604 서버2012 뿐만 아니라 서버에서 공통적으로 고급공유에 대해 질문 드립니다. [1] ZeDeF 2016.01.13 3753
603 windows server는 아니고 windows7에서 powershell 관련 질문입니다. [2] 떠벙이 2015.12.31 3998
602 운영중인서버 성능모니터링 질문이여 삥삥삥 2015.12.09 4901
601 2003에서 2008로 업그레이드 후 http 500에러가 발생합니다. 호짱 2015.12.02 4976





XE Login