Come correggere l'errore di controllo nel nostro server web

Naviga le tue risposte
1

Abbiamo notato che stiamo ottenendo i seguenti registri di errori di controllo nel nostro server web. La workstation non è nella nostra rete.

Qualcuno può aiutarmi a isolare e impedire che ciò accada?

Un account non è riuscito ad accedere.

Oggetto: 

Security ID:        NULL SID
Account Name:       -
Account Domain:     -
Logon ID:       0x0

Logon Type:         3

Account per il quale l'accesso non è riuscito: 

Security ID:        NULL SID
Account Name:       db2admin
Account Domain:     SAYNAMY-4BF9DFF

Informazioni sull'errore: 

Failure Reason:     Unknown user name or bad password.
Status:         0xc000006d
Sub Status:     0xc0000064

Informazioni sul processo: 

Caller Process ID:  0x0
Caller Process Name:    -

Informazioni sulla rete: 

Workstation Name:   SAYNAMY-4BF9DFF
Source Network Address: 37.220.1.6
Source Port:        1046

Informazioni dettagliate sull'autenticazione: 

Logon Process:      NtLmSsp 
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only):   -
Key Length:     0
    
posta Sherry 12.07.2012 - 08:29
fonte

1 risposta

2

Sembra che tu possa essere vittima di un attacco targettato o di un semplice attacco di script kiddie. In pratica qualcuno (SAYNAMY - 37.220.1.6) sta tentando di autenticarsi con il nome utente amministratore DB2 noto sul server. Segue un estratto di ricerca di RIPE: 

inetnum:        37.220.1.0 - 37.220.1.63
netname:        RSDEDI-OJEJMBME
descr:          Dedicated Server Hosting
country:        GB
remarks:        ABUSE REPORTS: [email protected]

Domande importanti:

  • Stai eseguendo DB2 sul server interessato?
  • Puoi tenere traccia di altre richieste da quell'IP nella rete esaminando ad es. log del firewall?

Se si desidera risolvere questo problema, semplicemente bloccherò questo indirizzo IP nel firewall e l'errore di controllo da questo IP non dovrebbe più arrivare.

Per bloccare l'indirizzo IP sulla propria interfaccia server è possibile utilizzare la riga di comando di Windows in questo modo: 

netsh advfirewall firewall add rule name=[NAME HERE] dir=out interface=any 
action=block remoteip=[IP HERE]/32
    
risposta data 12.07.2012 - 09:07
fonte

Leggi altre domande sui tag

La funzione "Gruppi speciali" in Vista, 2008, R2 e Windows 7 è valida per l'accesso al file system? Qual è l'applicazione di SHA384withRSAEncryption?