Inloggningslog Event 4625 i mängder

2025-06-10 00:05

Permalänk

hirsch

Medlem

Plats: 0:0:0:0:0:0:7f00:1
Registrerad: Feb 2009

●

Inloggningslog Event 4625 i mängder

Hej,

Upptäckte idag på min hemmaserver att jag har +37k felaktiga inloggningsförsök i loggern och att det konstant sker nya...:

Kom på det eftersom att mitt konto var "locked-out" från remote access så var tvungen att logga in lokalt. Det har varit så ett bra tag men jag har inte orkat fixa det förens ikväll.

I huvudsak är det login försök mot kontona Admin, Backup och IT:

An account failed to log on.

Subject:
	Security ID:		NULL SID
	Account Name:		-
	Account Domain:		-
	Logon ID:		0x0

Logon Type:			3

Account For Which Logon Failed:
	Security ID:		NULL SID
	Account Name:		ADMIN
	Account Domain:		-

Failure Information:
	Failure Reason:		Unknown user name or bad password.
	Status:			0xC000006D
	Sub Status:		0xC0000064

Process Information:
	Caller Process ID:	0x0
	Caller Process Name:	-

Network Information:
	Workstation Name:	-
	Source Network Address:	194.180.48.174
	Source Port:		0

Detailed Authentication Information:
	Logon Process:		NtLmSsp 
	Authentication Package:	NTLM
	Transited Services:	-
	Package Name (NTLM only):	-
	Key Length:		0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
	- Transited services indicate which intermediate services have participated in this logon request.
	- Package name indicates which sub-protocol was used among the NTLM protocols.
	- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

An account failed to log on.

Subject:
	Security ID:		NULL SID
	Account Name:		-
	Account Domain:		-
	Logon ID:		0x0

Logon Type:			3

Account For Which Logon Failed:
	Security ID:		NULL SID
	Account Name:		IT
	Account Domain:		-

Failure Information:
	Failure Reason:		Unknown user name or bad password.
	Status:			0xC000006D
	Sub Status:		0xC0000064

Process Information:
	Caller Process ID:	0x0
	Caller Process Name:	-

Network Information:
	Workstation Name:	-
	Source Network Address:	194.180.48.174
	Source Port:		0

Detailed Authentication Information:
	Logon Process:		NtLmSsp 
	Authentication Package:	NTLM
	Transited Services:	-
	Package Name (NTLM only):	-
	Key Length:		0
[...]

An account failed to log on.

Subject:
	Security ID:		NULL SID
	Account Name:		-
	Account Domain:		-
	Logon ID:		0x0

Logon Type:			3

Account For Which Logon Failed:
	Security ID:		NULL SID
	Account Name:		BACKUP
	Account Domain:		-

Failure Information:
	Failure Reason:		Unknown user name or bad password.
	Status:			0xC000006D
	Sub Status:		0xC0000064

Process Information:
	Caller Process ID:	0x0
	Caller Process Name:	-

Network Information:
	Workstation Name:	-
	Source Network Address:	194.180.48.174
	Source Port:		0

Detailed Authentication Information:
	Logon Process:		NtLmSsp 
	Authentication Package:	NTLM
	Transited Services:	-
	Package Name (NTLM only):	-
	Key Length:		0
[...]

IP 194.180.48.174 är inget jag känner till... det IPet står för 99,99% av alla felaktiga inloggningsförsök som görs.

Nu den senaste timmen har det även varit liknande försök ifrån andra ipadresser så som 77.245.107.189, 202.165.25.140, 89.248.192.27, 183.81.32.189, 45.227.254.151, 15.204.218.145, 65.109.108.183 mot konton som Administrator, USER, USER1, JOHN

Någon som försöker bruteforcea sig in i min server eller?

Det finns ingen data på servern. Jag har bara börjat installera "File Browser", Docker och Nextcloud men ingenting är klart eller up n running... så det finns verkligen inget värt att stjäla eller som jag är rädd att förlora.

Vad ska jag göra? Det är ju väldigt jobbigt att konstant bli locked-out också...

Senast redigerat 2025-06-10 00:21

Rapportera Redigera

Citera flera Citera

2025-06-10 00:16

Permalänk

holo

Medlem ★

Registrerad: Feb 2005

●

Det kommer -alltid- vara bruteforce försök på datorn.
Lägg in det stora skurkIP't i brandväggen och blocka.
Kommer de in med RPD så är det rätt illa och datorn får anses som infekterad av fan och hans moster med otrevligheter, och beroende på om du har fler enheter på nätverket så kan varenda enhet vara full av skit (beroende på intern säkerhet)

När jag körde windowsserver rakt ut mot internet hade jag ett fint program som jag inte minns namnet på (tyvärr) som läste av RDP's connectionlog och automatiskt bannade IP'n som failade att logga in.
Innan jag slutade använda RDP för det var för mycket försök.

Rapportera Redigera

Citera flera Citera

2025-06-10 00:22

Permalänk

hirsch

Medlem

Plats: 0:0:0:0:0:0:7f00:1
Registrerad: Feb 2009

●

Ok, det kanske är bättre att köra Chrome Remote Desktop och dissa RPD? Antar att Chrome tjänst borde vara mycket mindre utsatt...?

Rapportera Redigera

Citera flera Citera

2025-06-10 00:29

Permalänk

holo

Medlem ★

Registrerad: Feb 2005

●

Har inga egentliga belägg men magkänslan säger att den förmodligen är utsatt med med tanke på chrome's dominans.
Ett säkrare alternativ om du måste ha åtkomst utifrån till datorn skulle nog vara nån vpn tunnel med stark säkerhet för att tunnla in på ditt nätverk och därifrån köra RDP 'lokalt'
Det var så det slutade för mig och Pfsense brandvägg men finns säkert nån som har bättre lösning på det dock

Rapportera Redigera

Citera flera Citera

2025-06-10 00:40

Permalänk

hirsch

Medlem

Plats: 0:0:0:0:0:0:7f00:1
Registrerad: Feb 2009

●

Ok, tog bort min öppna port nu och kör endast RDP lokalt i nätverket. Får se om jag kan sätta upp en VPN under veckan så som du föreslår.

Rapportera Redigera

Citera flera Citera

2025-06-10 12:35

Permalänk

holo

Medlem ★

Registrerad: Feb 2005

●

Det var skrämmande att se hur mycket försök till intrång på varje öppen port det var. Min server hanterade mail och spelservrar men det var i stort samma mängd som hammrade på varenda öppna port
Slutade som sagt med att jag kör med pfsense som brandvägg före windowsservern, och på den geoblockerade jag stora delar av världen där det värsta buset kom (Ryssland, Kina, Afrika mm) och då blev det lugnare. Innan dess så kunde loggar över intrångsförsök på enskild port lätt bli 40-50 Mb om dagen.

Rapportera Redigera

Citera flera Citera (1)

2025-06-10 14:55

Permalänk

tcntad

Arvid Nordqvist-mannen ★

Plats: 127.0.0.1
Registrerad: Feb 2005

●

Du har väl inte kört RDP direkt mot internet, utan VPN?! Det är lite som att be om problem.
Sätt upp tailscale iaf

Visa signatur

Swec-Regler Founder of SwecLogistics VTC

Rapportera Redigera

Citera flera Citera (1)

2025-06-10 15:00

Permalänk

sweisdapro

Medlem ★

Plats: Lund
Registrerad: Mar 2017

●

Skrivet av tcntad:

Du har väl inte kört RDP direkt mot internet, utan VPN?! Det är lite som att be om problem.
Sätt upp tailscale iaf

Gå till inlägget

+1 på detta

Annars; reverse proxy, guacamole, etc

Visa signatur

Rapportera Redigera

Citera flera Citera

2025-06-10 17:48

Permalänk

JBerger

Medlem ★

Registrerad: Mar 2009

●

Skrivet av hirsch:

Ok, det kanske är bättre att köra Chrome Remote Desktop och dissa RPD? Antar att Chrome tjänst borde vara mycket mindre utsatt...?

Gå till inlägget

Jag slår ett slag för rust desk annars; opensource, kan selfhost:a rubbet och tycker det fungerar finfint.

Rapportera Redigera

Citera flera Citera (1)

2025-06-11 00:22

Permalänk

hirsch

Medlem

Plats: 0:0:0:0:0:0:7f00:1
Registrerad: Feb 2009

●

Skrivet av tcntad:

Du har väl inte kört RDP direkt mot internet, utan VPN?! Det är lite som att be om problem.
Sätt upp tailscale iaf

Gå till inlägget

Jo, jag var minst sagt lite naiv. Blev chockad när jag såg loggen första gången.

Har fått lite paranoia nu och vidtagit diverse åtgärder.

Tar det inte så seriöst, sitter bara med 4g uppkoppling och hade en gammal dator över som jag ville laborera lite med när jag hade dötid över på tjänsteresor. Så satt upp en RDP och upptäckte redan efter någon dag att kontot blev locked-out... lämnade servern orörd i några månader och började titta på vad som hade hänt först igår kväll.

Rapportera Redigera

Citera flera Citera (1)

2025-06-11 00:45

Permalänk

tcntad

Arvid Nordqvist-mannen ★

Plats: 127.0.0.1
Registrerad: Feb 2005

●

Skrivet av hirsch:

Jo, jag var minst sagt lite naiv. Blev chockad när jag såg loggen första gången.

Har fått lite paranoia nu och vidtagit diverse åtgärder.

Tar det inte så seriöst, sitter bara med 4g uppkoppling och hade en gammal dator över som jag ville laborera lite med när jag hade dötid över på tjänsteresor. Så satt upp en RDP och upptäckte redan efter någon dag att kontot blev locked-out... lämnade servern orörd i några månader och började titta på vad som hade hänt först igår kväll.

Gå till inlägget

Cheesus goddamn *Vi har varit naiva*
jag har gjort likadant basically för massa år sen, förvisso under kort tid men ändå, jag visste inte bättre
Det är väl positivt sålänge inga konton har skrivrättigheter mot andra nätverksresurser så det är relativt begränsat och inget viktigt är kompromissat

Visa signatur

Swec-Regler Founder of SwecLogistics VTC

Rapportera Redigera

Citera flera Citera

Inloggningslog Event 4625 i mängder

Inloggningslog Event 4625 i mängder

Externa nyheter