2 votes

Remy avatar

Un filtre de la plate-forme de filtrage Windows a été modifié - Partage de fichiers et d'imprimantes

Demandé el 11 de Décembre, 2013
Quand la question a-t-elle été
3257 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Mon serveur Windows 2008 R2 est assailli par des tonnes de tentatives de connexion.
Je suppose que quelqu'un a lancé une attaque par force brute.
C'est drôle, notre fichier de configuration MySQL a été supprimé la nuit dernière, ils ont dû s'introduire d'une manière ou d'une autre. Mais en même temps, mon journal des événements est rempli de ces messages :

A Windows Filtering Platform filter has been changed.

Subject:
    Security ID:        LOCAL SERVICE
    Account Name:       NT AUTHORITY\LOCAL SERVICE

Process Information:
    Process ID: 1184

Provider Information:
    ID:     {decc16ca-3f33-4346-be1e-8fb4ae0f3d62}
    Name:       Microsoft Corporation

Change Information:
    Change Type:    Delete

Filter Information:
    ID:     {3798315c-c633-46ee-8421-89dab23673e9}
    Name:       File and Printer Sharing (Spooler Service - RPC-EPMAP)
    Type:       Not persistent
    Run-Time ID:    3444308

Layer Information:
    ID:     {e1cd9fe7-f4b5-4273-96c0-592e487b8650}
    Name:       ALE Receive/Accept v4 Layer
    Run-Time ID:    44

Callout Information:
    ID:     {00000000-0000-0000-0000-000000000000}
    Name:       -

Additional Information:
    Weight: 10378404878664860156    
    Conditions: 
    Condition ID:   {af043a0a-b34d-4f86-979c-c90371af6e66}
    Match value:    Equal to
    Condition value:    
O:SYG:SYD:(A;;CCRC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080)

    Condition ID:   {0c1ba1af-5765-453f-af22-a8f791ac775b}
    Match value:    Equal to
    Condition value:    0x0087

    Condition ID:   {46ea1551-2255-492b-8019-aabeee349f40}
    Match value:    Equal to
    Condition value:    0x00000003

    Condition ID:   {ab3033c9-c0e3-4759-937d-5758c65d4ae3}
    Match value:    Equal to
    Condition value:    0x00000003

    Condition ID:   {3971ef2b-623e-4f9a-8cb1-6e79b806b9a7}
    Match value:    Equal to
    Condition value:    0x06

    Filter Action:  Permit

Ma société d'hébergement est malheureusement très peu réactive et peu serviable. Leur seule réponse est de changer mon mot de passe... Quelqu'un sait-il ce qu'ils signifient et d'où ils viennent ? Je suppose que ce sont les règles du pare-feu de Windows. Mais est-ce normal ou qu'est-ce que cela signifie ?

Demandé el 11 de Décembre, 2013 par Remy

Réponse

Trop de publicités?

5voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

Vous avez un tas de choses différentes qui se passent dans votre question. Je vais les aborder séparément.

Mon serveur Windows Server 2008 R2 est assailli par des tonnes de tentatives de connexion. Je suppose que quelqu'un lance une attaque par force brute.

Un conseil d'ordre général : Ne devinez pas. Sachez. Les systèmes informatiques sont extrêmement complexes. Un bon administrateur système doit commencer par identifier tous les symptômes, tester la reproductibilité, rassembler des preuves, puis émettre des hypothèses raisonnables sur la nature du problème sous-jacent. La méthode "Devinez et vérifiez" ne fonctionnera que si vous avez beaucoup de chance.

Vous devez consulter votre journal des événements et mettre en corrélation les tentatives de connexion avec les informations IDS de votre fournisseur en amont. Il peut s'agir d'une attaque par force brute, d'un compte de service dont le mot de passe a été modifié ou d'une application qui ne dispose plus des droits appropriés. Cela peut être beaucoup de choses.

Enfin, et surtout, pourquoi votre serveur est-il exposé au grand méchant Internet ? Vous êtes realmente devrait l'avoir derrière un pare-feu ou un VPN.

C'est drôle, notre fichier de configuration MySQL a été supprimé la nuit dernière, ils ont dû s'introduire d'une manière ou d'une autre.

C'est plutôt drôle mais encore une fois, es-tu sûr que c'était un intrus ? Peut-être l'avez-vous supprimé par accident ? Encore une fois, ne devinez pas. Sachez. Auditez-vous les accès aux fichiers ? Les changements de propriétaire ? Vous devriez pouvoir au moins avoir une meilleure idée de ce que votre fichier de configuration a soudainement été modifié ou manquant.

Plate-forme de filtrage Windows

Consultez le site MSDN pour obtenir des informations sur Plate-forme de filtrage Windows :

Le PAM fournit des API pour que vous puissiez participer au filtrage. décisions de filtrage qui se produisent à plusieurs niveaux de la pile de protocoles TCP/IP. Le WFP intègre et prend également en charge les fonctionnalités de pare-feu de nouvelle génération, telles que la communication authentifiée, la sécurité et la confidentialité. de nouvelle génération, telles que la communication authentifiée et la configuration dynamique basée sur l'utilisation de l'API Windows Sockets par une application. Sockets API. Cette capacité est également connue sous le nom de politique d'application.

Je crois que l'exemple que vous avez posté est suppression de le filtre PERMIT pour le partage de fichiers et d'imprimantes (Service Spooler - RPC-EPMAP). Si vous lisez un peu plus, vous devriez être en mesure de le confirmer. Je ne pense pas que cet événement particulier soit lié à vos éventuels problèmes de sécurité (ce qui ne veut pas dire que les autres événements WFP ne le sont pas !)

Votre serveur est-il compromis ?

Avant de tirer la sonnette d'alarme, faites quelques recherches, consultez vos options d'assistance et confirmez que votre serveur a en effet a été compromise. Allez lire la question canonique sur le sujet pour vous aider dans le processus : Comment faire face à un serveur compromis ? . Bonne chance !

Répondu el 13 de Décembre, 2013 par Utilisateur non enregistré (0 Points )

0 votes

Avatar de Rob Moir

"Ne devinez pas - sachez". C'est le conseil le plus utile que l'on puisse recevoir dans le domaine de l'informatique. Une supposition est une théorie. Travaillez à la prouver ou à la réfuter.

Commenté el 13 de Décembre, 2013 par Rob Moir

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X