Брутфорсят по RDP - [1] :: В помощь системному администратору

В организации открыты пару компьютеров на доступ к ним по rdp. Разумеется открытые порты находятся, и идет брутфорс этих компьютеров. Хотел написать скрипт, который бы мониторил логи, и в случае трех/двух неудачных попыток просто бы вносил данные адреса в черный список на прокси(перенаправление идет через него), но вот проблема. В логах на компьютерах я не вижу ip.

Учетной записи не удалось выполнить вход в систему.

Субъект:
    ИД безопасности:        NULL SID
    Имя учетной записи:        -
    Домен учетной записи:        -
    Код входа:        0x0

Тип входа:            3

Учетная запись, которой не удалось выполнить вход:
    ИД безопасности:        NULL SID
    Имя учетной записи:        АЛЁНА
    Домен учетной записи:

Сведения об ошибке:
    Причина ошибки:        Неизвестное имя пользователя или неверный пароль.
    Состояние:            0xc000006d
    Подсостояние:        0xc0000064

Сведения о процессе:
    Идентификатор процесса вызывающей стороны:    0x0
    Имя процесса вызывающей стороны:    -

Сведения о сети:
    Имя рабочей станции:
    Сетевой адрес источника:    -
    Порт источника:        -

Сведения о проверке подлинности:
    Процесс входа:        NtLmSsp
    Пакет проверки подлинности:    NTLM
    Промежуточные службы:    -
    Имя пакета (только NTLM):    -
    Длина ключа:        0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

Вот такой лог выдает. Возможно я что-то не включил? почему нет ip адреса откуда пытаются зайти? ОС win7.

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2