윈도우 보안 이벤트에 이벤트 아이디 4625가 5초 단위로 계속 생성됩니다.
누군가 봇 돌리는거 같은데 방화벽에서 포트를 막을려고 하는데 어느 경노로 접속하는지 알수가 없네요
찾아본 내용은 로그온 유형 3 이 네트워크 , iis 접속이라는데...어떻게 접속시도 하는지 모르겠네요
방화벽에 열린 서비스는 dns, http, ftp(이건 ip대역으로 지정됨), 원격데스크탑( 1개 아이피만 지정됨), smtp
이것밖에 없는데 혹시 막는 방법 아시는분 알려주세요
( administrator 계정은 사용불가로 되어 있음)
(ipsec 으로 접속 ip 를 막는것도 한계가 있더군요 매번 접속시도 ip가 바뀌니..)
추가로 이벤트 내용중 "이 이벤트는 로그온 요청이 실패할 때 액세스하려고 했던 컴퓨터에 생성됩니다." 라고
되어 있는데 이건 해석이 잘못된건지 제가 이해를 잘못한건지 접속하려했는 서버에 로그가 생긴다는
의미로 보여서 마치 내 서버가 다른 서버에 접속을 시도 하고 있는것 처럼 보이네요...
이벤트로그 내용
===============================
계정을 로그온하지 못했습니다.
주체:
보안 ID: NULL SID
계정 이름: -
계정 도메인: -
로그온 ID: 0x0
로그온 유형: 3
로그온을 실패한 계정:
보안 ID: NULL SID
계정 이름: Administrator
계정 도메인: 96BEA299442B411
오류 정보:
오류 이유: 알 수 없는 사용자 이름 또는 잘못된 암호를 사용했습니다.
상태: 0xc000006d
하위 상태: 0xc000006a
프로세스 정보:
호출자 프로세스 ID: 0x0
호출자 프로세스 이름: -
네트워크 정보:
워크스테이션 이름: 96BEA299442B411
원본 네트워크 주소: 61.147.70.142
원본 포트: 1318
인증 세부 정보:
로그온 프로세스: NtLmSsp
인증 패키지: NTLM
전송된 서비스: -
패키지 이름(NTLM 전용): -
키 길이: 0
이 이벤트는 로그온 요청이 실패할 때 액세스하려고 했던 컴퓨터에 생성됩니다.
주체 필드는 로그온을 요청한 로컬 시스템의 계정을 나타냅니다. 이것은 주로 서버 서비스와 같은 서비스 또는 Winlogon.exe나 Services.exe와 같은 로컬 프로세스입니다.
로그온 유형 필드는 요청한 로그온의 유형을 나타냅니다. 가장 일반적인 유형은 2(대화식)와 3(네트워크)입니다.
프로세스 정보 필드는 시스템에서 로그온을 요청한 계정과 프로세스를 나타냅니다.
네트워크 정보 필드는 원격 로그온 요청이 시작된 위치를 나타냅니다. 워크스테이션 이름은 항상 사용할 수 있는 것은 아니며 어떤 경우에는 비워 둘 수도 있습니다.
인증 정보 필드는 이 특정 로그온 요청에 대한 자세한 정보를 제공합니다.
- 전송된 서비스는 이 로그온 요청과 관련된 중간 서비스를 나타냅니다.
- 패키지 이름은 NTLM 프로토콜 간에 사용된 하위 프로토콜을 나타냅니다.
- 키 길이는 생성된 세션 키의 길이를 나타냅니다. 이 값은 요청된 세션 키가 없으면 0이 됩니다.
secpol 이나, 방화벽으로 막을 때 특정 아이피 거부로 하는 것 보다, 특정 아이피만 접근 가능으로 변경해 보세요,,
원격 접속 포트를 변경하는 것도 방법이 될수 있겠네요,,