首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
zephyru
V2EX  ›  程序员

日志里有海量的登录失败,有没有人能提供一些排查的思路?

  •   
  •   zephyru · 19 小时 50 分钟前 · 769 次点击

    日志电脑是台 windows ,在事件查看器里看到的 日志单条大概是这样的

    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" /> 
  <EventID>4625</EventID> 
  <Version>0</Version> 
  <Level>0</Level> 
  <Task>12544</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8010000000000000</Keywords> 
  <TimeCreated SystemTime="2024-12-27T07:38:10.1347755Z" /> 
  <EventRecordID>3536438</EventRecordID> 
  <Correlation ActivityID="{59d78f96-5809-0001-5690-d7590958db01}" /> 
  <Execution ProcessID="852" ThreadID="932" /> 
  <Channel>Security</Channel> 
  <Computer>DESKTOP-7CQ6CHA</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data Name="SubjectUserSid">S-1-0-0</Data> 
  <Data Name="SubjectUserName">-</Data> 
  <Data Name="SubjectDomainName">-</Data> 
  <Data Name="SubjectLogonId">0x0</Data> 
  <Data Name="TargetUserSid">S-1-0-0</Data> 
  <Data Name="TargetUserName">ADMINISTRATOR</Data> 
  <Data Name="TargetDomainName" /> 
  <Data Name="Status">0xc000006d</Data> 
  <Data Name="FailureReason">%%2313</Data> 
  <Data Name="SubStatus">0xc000006a</Data> 
  <Data Name="LogonType">3</Data> 
  <Data Name="LogonProcessName">NtLmSsp</Data> 
  <Data Name="AuthenticationPackageName">NTLM</Data> 
  <Data Name="WorkstationName">-</Data> 
  <Data Name="TransmittedServices">-</Data> 
  <Data Name="LmPackageName">-</Data> 
  <Data Name="KeyLength">0</Data> 
  <Data Name="ProcessId">0x0</Data> 
  <Data Name="ProcessName">-</Data> 
  <Data Name="IpAddress">192.168.10.111</Data> 
  <Data Name="IpPort">0</Data> 
  </EventData>
  </Event>

    几分钟一次 日志的意思是,通过 网络方式 请求登录,用户名正确但是密码不正确。
    我查到一篇文章说 安全策略组里 禁止 NTLM 流量传入就可以避免这种日志出现。

    但问题是请求过来的 Ip 是我内网的一台 Linux 虚拟机,发起请求的端口是 0 让我很费解...
    这台虚拟机通过 frp 代理了一些 Nginx 端口在公网。
    同时在 docker 里布置了 safeline 用来清洗从外网进来的流量,没有在公网暴露 ssh 或者数据库。
    Nginx 在这台虚拟机上,虚拟机上同时还有 cloudflared 的 tunnel 代理。
    之前用 frp 将 windows 的 3389 反代到非标准的端口到公网过,发现日志后就不这么做了。
    所有反代的出口均使用了 https 和子域名(这也是为啥装了 Nginx )

    我尝试用
    lsof -i @192.168.10.111
    没看到什么可疑的进程

    尝试把 safeline ,cloudflared ,Nginx 都关掉,这个日志还是会出现。

    现在情况就是,不影响使用,也没有什么异常占用。
    就是一个劲的能看到这个日志我也不确定是不是我的虚拟机因为什么原因被拿下了。

    重装倒是成本不高,问题是很难避免再出现这个问题,所以想来找找排查思路或者可能的原因。
    先谈谈我的假设

    1. 有人扫到了反代后的 rdp 的端口然后开始不断尝试
      关闭反代后依旧有

    2. 虚拟机被拿下了,然后又挂了个什么代理或者木马
      不确定,在思考这种情况的话,是怎么被拿下来的?有没有什么排查方式?

    3. 因为 smb 共享,网上邻居或者类似的服务导致的网络发现?
      不确定,会有这种可能么?也许断掉公网再看有没有日志可以排查这个问题?

    4 条回复    2024-12-27 19:30:08 +08:00
    Qiuchi
        1
    Qiuchi  
       19 小时 13 分钟前
    wireshark 有请,既然日志记了请求来源,就在那上边看下到底是不是那上边来的
    zephyru
        2
    zephyru  
    OP
       18 小时 1 分钟前
    @Qiuchi
    我在 111 上用 tcpdump 抓了一把
    ···sh
    18:08:26.060614 IP (tos 0x0, ttl 64, id 27498, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [S], cksum 0x9657 (incorrect -> 0x35f9), seq 1791341889, win 64240, options [mss 1460,sackOK,TS val 3005592640 ecr 0,nop,wscale 7], length 0
    18:08:26.060968 IP (tos 0x0, ttl 64, id 27499, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0xd116), seq 1791341890, ack 4131272408, win 502, length 0
    18:08:26.065368 IP (tos 0x0, ttl 64, id 27500, offset 0, flags [DF], proto TCP (6), length 83)
    192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x966e (incorrect -> 0x479c), seq 0:43, ack 1, win 502, length 43
    18:08:26.078310 IP (tos 0x0, ttl 64, id 27501, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0xd0d8), seq 43, ack 20, win 502, length 0
    18:08:26.279963 IP (tos 0x0, ttl 64, id 27502, offset 0, flags [DF], proto TCP (6), length 245)
    192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x9710 (incorrect -> 0xee61), seq 43:248, ack 20, win 502, length 205
    18:08:26.281046 IP (tos 0x0, ttl 64, id 27503, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0xccc2), seq 248, ack 862, win 501, length 0
    18:08:26.491485 IP (tos 0x0, ttl 64, id 27504, offset 0, flags [DF], proto TCP (6), length 366)
    192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x9789 (incorrect -> 0x8485), seq 248:574, ack 862, win 501, length 326
    18:08:26.493603 IP (tos 0x0, ttl 64, id 27505, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0xcb41), seq 574, ack 921, win 501, length 0
    18:08:26.696449 IP (tos 0x0, ttl 64, id 27506, offset 0, flags [DF], proto TCP (6), length 125)
    192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x9698 (incorrect -> 0x32b5), seq 574:659, ack 921, win 501, length 85
    18:08:26.697653 IP (tos 0x0, ttl 64, id 27507, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0xc9c7), seq 659, ack 1214, win 501, length 0
    18:08:26.931073 IP (tos 0x0, ttl 64, id 27508, offset 0, flags [DF], proto TCP (6), length 701)
    192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x98d8 (incorrect -> 0x870f), seq 659:1320, ack 1214, win 501, length 661
    18:08:27.938737 IP (tos 0x0, ttl 64, id 27509, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0xc70d), seq 1320, ack 1251, win 501, length 0
    18:08:28.140901 IP (tos 0x0, ttl 64, id 27510, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.10.111.60482 > 192.168.10.105.ms-wbt-server: Flags [F.], cksum 0x9643 (incorrect -> 0xc70c), seq 1320, ack 1251, win 501, length 0
    18:08:37.782607 IP (tos 0x0, ttl 64, id 37443, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [S], cksum 0x9657 (incorrect -> 0x1cca), seq 2792472062, win 64240, options [mss 1460,sackOK,TS val 3005604362 ecr 0,nop,wscale 7], length 0
    18:08:37.783240 IP (tos 0x0, ttl 64, id 37444, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0x9249), seq 2792472063, ack 3368859570, win 502, length 0
    18:08:37.788266 IP (tos 0x0, ttl 64, id 37445, offset 0, flags [DF], proto TCP (6), length 83)
    192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x966e (incorrect -> 0x08cf), seq 0:43, ack 1, win 502, length 43
    18:08:37.800789 IP (tos 0x0, ttl 64, id 37446, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0x920b), seq 43, ack 20, win 502, length 0
    18:08:37.982548 IP (tos 0x0, ttl 64, id 37447, offset 0, flags [DF], proto TCP (6), length 245)
    192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x9710 (incorrect -> 0x68f7), seq 43:248, ack 20, win 502, length 205
    18:08:37.983766 IP (tos 0x0, ttl 64, id 37448, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0x8df5), seq 248, ack 862, win 501, length 0
    18:08:38.165559 IP (tos 0x0, ttl 64, id 37449, offset 0, flags [DF], proto TCP (6), length 366)
    192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x9789 (incorrect -> 0x27a8), seq 248:574, ack 862, win 501, length 326
    18:08:38.166605 IP (tos 0x0, ttl 64, id 37450, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0x8c74), seq 574, ack 921, win 501, length 0
    18:08:38.347857 IP (tos 0x0, ttl 64, id 37451, offset 0, flags [DF], proto TCP (6), length 125)
    192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x9698 (incorrect -> 0x0d02), seq 574:659, ack 921, win 501, length 85
    18:08:38.349135 IP (tos 0x0, ttl 64, id 37452, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0x8afa), seq 659, ack 1214, win 501, length 0
    18:08:38.530605 IP (tos 0x0, ttl 64, id 37453, offset 0, flags [DF], proto TCP (6), length 701)
    192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [P.], cksum 0x98d8 (incorrect -> 0x02a5), seq 659:1320, ack 1214, win 501, length 661
    18:08:39.545631 IP (tos 0x0, ttl 64, id 37454, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [.], cksum 0x9643 (incorrect -> 0x8840), seq 1320, ack 1251, win 501, length 0
    18:08:39.726709 IP (tos 0x0, ttl 64, id 37455, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.10.111.37694 > 192.168.10.105.ms-wbt-server: Flags [F.], cksum 0x9643 (incorrect -> 0x883f), seq 1320, ack 1251, win 501, length 0
    ···

    应该是有周期性发起请求的,但我不知道用什么方式可以同时查看这个连接是谁发起的或者从哪来的,每次请求端口都会变
    Qiuchi
        3
    Qiuchi  
       17 小时 7 分钟前 via Android
    @zephyru 可以先 dump 下来,看下包里面的是什么东西,也许有啥线索
    Qiuchi
        4
    Qiuchi  
       16 小时 43 分钟前 via Android
    不过话说你这个不是应该 lsof 192.168.10.105 ? 111 是 linux 服务器吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2623 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 04:13 · PVG 12:13 · LAX 20:13 · JFK 23:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.