windows下ssh、telnet、rdp、smb、ftp暴破事件日志分析

最新推荐文章于 2024-04-11 23:22:07 发布
最新推荐文章于 2024-04-11 23:22:07 发布
阅读量3.5k 收藏 2
点赞数
文章标签: windows ssh microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaozhao2017/article/details/128440578
版权

以下日志来自火绒剑采集的事件、wireshark抓包以及windows自身记录的登录事件,其中ssh、telnet、rdp、smb、ftp都是使用的默认端口,只有默认端口wireshark才能显示相应的protocol,因为应用层协议是通过端口号识别的,如果修改端口号,wireshark不会显示相应的protocol。

rdp暴破,被暴破机器上会向攻击机返回带有3389端口的数据,但攻击机用的端口是随机的。Wireshark在被暴破机器上抓包,能看到rdp协议。

日志

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

  <System>

    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />

    <EventID>4625</EventID>

    <Version>0</Version>

    <Level>0</Level>

    <Task>12544</Task>

    <Opcode>0</Opcode>

    <Keywords>0x8010000000000000</Keywords>

    <TimeCreated SystemTime="2022-12-15T06:29:15.3988176Z" />

    <EventRecordID>17399</EventRecordID>

    <Correlation ActivityID="{e5085619-1031-0001-a556-08e53110d901}" />

    <Execution ProcessID="704" ThreadID="476" />

    <Channel>Security</Channel>

    <Computer>DESKTOP-IFP1LHO</Computer>

    <Security />

  </System>

  <EventData>

    <Data Name="SubjectUserSid">S-1-0-0</Data>

    <Data Name="SubjectUserName">-</Data>

    <Data Name="SubjectDomainName">-</Data>

    <Data Name="SubjectLogonId">0x0</Data>

    <Data Name="TargetUserSid">S-1-0-0</Data>

    <Data Name="TargetUserName">44444444</Data>

    <Data Name="TargetDomainName">

    </Data>

    <Data Name="Status">0xc000006d</Data>

    <Data Name="FailureReason">%%2313</Data>

    <Data Name="SubStatus">0xc0000064</Data>

    <Data Name="LogonType">3</Data>

    <Data Name="LogonProcessName">NtLmSsp </Data>

    <Data Name="AuthenticationPackageName">NTLM</Data>

    <Data Name="WorkstationName">DESKTOP-QMONA1D</Data>

    <Data Name="TransmittedServices">-</Data>

    <Data Name="LmPackageName">-</Data>

    <Data Name="KeyLength">0</Data>

    <Data Name="ProcessId">0x0</Data>

    <Data Name="ProcessName">-</Data>

    <Data Name="IpAddress">192.168.241.1</Data>

    <Data Name="IpPort">0</Data>

  </EventData>

</Event>

Hydar暴破ftp,被暴破机上的登录失败日志,登录方式为8,processname为Advapi  。

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

  <System>

    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />

    <EventID>4625</EventID>

    <Version>0</Version>

    <Level>0</Level>

    <Task>12544</Task>

    <Opcode>0</Opcode>

    <Keywords>0x8010000000000000</Keywords>

    <TimeCreated SystemTime="2022-12-15T03:50:21.1626073Z" />

    <EventRecordID>11879</EventRecordID>

    <Correlation ActivityID="{e5085619-1031-0001-a556-08e53110d901}" />

    <Execution ProcessID="704" ThreadID="6812" />

    <Channel>Security</Channel>

    <Computer>DESKTOP-IFP1LHO</Computer>

    <Security />

  </System>

  <EventData>

    <Data Name="SubjectUserSid">S-1-5-18</Data>

    <Data Name="SubjectUserName">DESKTOP-IFP1LHO$</Data>

    <Data Name="SubjectDomainName">WORKGROUP</Data>

    <Data Name="SubjectLogonId">0x3e7</Data>

    <Data Name="TargetUserSid">S-1-0-0</Data>

    <Data Name="TargetUserName">11111111</Data>

    <Data Name="TargetDomainName">

    </Data>

    <Data Name="Status">0xc000006d</Data>

    <Data Name="FailureReason">%%2313</Data>

    <Data Name="SubStatus">0xc0000064</Data>

    <Data Name="LogonType">8</Data>

    <Data Name="LogonProcessName">Advapi  </Data>

    <Data Name="AuthenticationPackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>

    <Data Name="WorkstationName">DESKTOP-IFP1LHO</Data>

    <Data Name="TransmittedServices">-</Data>

    <Data Name="LmPackageName">-</Data>

    <Data Name="KeyLength">0</Data>

    <Data Name="ProcessId">0x804</Data>

    <Data Name="ProcessName">C:\Windows\System32\svchost.exe</Data>

    <Data Name="IpAddress">-</Data>

    <Data Name="IpPort">-</Data>

  </EventData>

</Event>

Wireshark抓包,能看到有ftp协议

火绒剑网络事件中,可以看到svchost带的参数有ftpsvc

Hydra暴破smb,wireshark抓包可以看到smb协议。

命令行为空

日志

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

  <System>

    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />

    <EventID>4625</EventID>

    <Version>0</Version>

    <Level>0</Level>

    <Task>12544</Task>

    <Opcode>0</Opcode>

    <Keywords>0x8010000000000000</Keywords>

    <TimeCreated SystemTime="2022-12-15T04:10:55.8872452Z" />

    <EventRecordID>15882</EventRecordID>

    <Correlation ActivityID="{e5085619-1031-0001-a556-08e53110d901}" />

    <Execution ProcessID="704" ThreadID="7088" />

    <Channel>Security</Channel>

    <Computer>DESKTOP-IFP1LHO</Computer>

    <Security />

  </System>

  <EventData>

    <Data Name="SubjectUserSid">S-1-0-0</Data>

    <Data Name="SubjectUserName">-</Data>

    <Data Name="SubjectDomainName">-</Data>

    <Data Name="SubjectLogonId">0x0</Data>

    <Data Name="TargetUserSid">S-1-0-0</Data>

    <Data Name="TargetUserName">zzzzzzzz</Data>

    <Data Name="TargetDomainName">

    </Data>

    <Data Name="Status">0xc000006d</Data>

    <Data Name="FailureReason">%%2313</Data>

    <Data Name="SubStatus">0xc0000064</Data>

    <Data Name="LogonType">3</Data>

    <Data Name="LogonProcessName">NtLmSsp </Data>

    <Data Name="AuthenticationPackageName">NTLM</Data>

    <Data Name="WorkstationName">\\192.168.241.1</Data>

    <Data Name="TransmittedServices">-</Data>

    <Data Name="LmPackageName">-</Data>

    <Data Name="KeyLength">0</Data>

    <Data Name="ProcessId">0x0</Data>

    <Data Name="ProcessName">-</Data>

    <Data Name="IpAddress">192.168.241.1</Data>

    <Data Name="IpPort">51211</Data>

  </EventData>

</Event>

Hydra暴破Ssh,登录日志及抓包可以看到有ssh协议的包

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

  <System>

    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />

    <EventID>4625</EventID>

    <Version>0</Version>

    <Level>0</Level>

    <Task>12544</Task>

    <Opcode>0</Opcode>

    <Keywords>0x8010000000000000</Keywords>

    <TimeCreated SystemTime="2022-12-16T07:05:06.9861163Z" />

    <EventRecordID>19503</EventRecordID>

    <Correlation ActivityID="{e5085619-1031-0001-a556-08e53110d901}" />

    <Execution ProcessID="704" ThreadID="780" />

    <Channel>Security</Channel>

    <Computer>DESKTOP-IFP1LHO</Computer>

    <Security />

  </System>

  <EventData>

    <Data Name="SubjectUserSid">S-1-5-18</Data>

    <Data Name="SubjectUserName">DESKTOP-IFP1LHO$</Data>

    <Data Name="SubjectDomainName">WORKGROUP</Data>

    <Data Name="SubjectLogonId">0x3e7</Data>

    <Data Name="TargetUserSid">S-1-0-0</Data>

    <Data Name="TargetUserName">NOUSER</Data>

    <Data Name="TargetDomainName">DESKTOP-IFP1LHO</Data>

    <Data Name="Status">0xc000006d</Data>

    <Data Name="FailureReason">%%2313</Data>

    <Data Name="SubStatus">0xc0000064</Data>

    <Data Name="LogonType">8</Data>

    <Data Name="LogonProcessName">Advapi  </Data>

    <Data Name="AuthenticationPackageName">Negotiate</Data>

    <Data Name="WorkstationName">DESKTOP-IFP1LHO</Data>

    <Data Name="TransmittedServices">-</Data>

    <Data Name="LmPackageName">-</Data>

    <Data Name="KeyLength">0</Data>

    <Data Name="ProcessId">0x1c38</Data>

    <Data Name="ProcessName">C:\Windows\System32\OpenSSH\sshd.exe</Data>

    <Data Name="IpAddress">-</Data>

    <Data Name="IpPort">-</Data>

  </EventData>

</Event>

火绒数据可以看到命令行中有sshd.exe。

HYDRA暴破telnet,火绒可以看到网络事件中命令行为tlntsvr.exe

登录日志中,登录方式为2,进程为Advapi 

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2022-12-15T08:45:49.567746800Z" />
    <EventRecordID>788</EventRecordID>
    <Correlation />
    <Execution ProcessID="460" ThreadID="3600" />
    <Channel>Security</Channel>
    <Computer>WIN-FILDP297CD8</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-5-19</Data>
    <Data Name="SubjectUserName">LOCAL SERVICE</Data>
    <Data Name="SubjectDomainName">NT AUTHORITY</Data>
    <Data Name="SubjectLogonId">0x3e5</Data>
    <Data Name="TargetUserSid">S-1-0-0</Data>
    <Data Name="TargetUserName">22222222</Data>
    <Data Name="TargetDomainName">WIN-FILDP297CD8</Data>
    <Data Name="Status">0xc000006d</Data>
    <Data Name="FailureReason">%%2313</Data>
    <Data Name="SubStatus">0xc0000064</Data>
    <Data Name="LogonType">2</Data>
    <Data Name="LogonProcessName">Advapi  </Data>
    <Data Name="AuthenticationPackageName">Negotiate</Data>
    <Data Name="WorkstationName">WIN-FILDP297CD8</Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">-</Data>
    <Data Name="KeyLength">0</Data>
    <Data Name="ProcessId">0xdd4</Data>
    <Data Name="ProcessName">C:\Windows\System32\tlntsess.exe</Data>
    <Data Name="IpAddress">-</Data>
    <Data Name="IpPort">-</Data>
  </EventData>
</Event>

xiaozhao2017
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FTP暴力破解-Hydra
王晓虎是萌新小白帽
07-17 1万+
王小虎是萌新小白帽第三步 先从第一个扫出来的21端口入手 首先hydra这个不是一个图形界面的软件,需要在命令行界面执行。但是连我这种英语小白都能用,大家就放心食用吧。 在hydra文件夹下按住shift点击鼠标右键,选择终端打开(win10是在此处打开powershell)。 ctrl+r 输入cmd 然后进到这个目录也是一样的。 解压即可无需安装。 在网上看有人说直接打hydra 就能用...
hydra强大的爆破工具,支持多种协议
05-05
hydra支持POP3,SMBRDPSSHFTP,POP3,Telnet,MYSQL等协议的爆破
记一次树莓派(Raspbetty)系统ssh被爆破攻击日志分析
GeekPlusA的博客
04-19 3306
记一次树莓派Raspbetty系统ssh被爆破攻击日志分析@[TOC](记一次树莓派Raspbetty系统ssh被爆破攻击日志分析) 参考:记一次树莓派(Raspbetty)系统ssh被爆破攻击日志分析
DOS 命令 | 每日一学,wevtutil 快速检索 Windows 系统事件日志元数据
最新发布
WeiyiGeek 唯一极客IT知识分享
04-11 630
wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。路径下,但不支持使用文本编辑器打开。
Windows日志分析--rdp远程登录、暴破
weixin_51876282的博客
01-22 1075
rdp 服务器通常不喜欢很多连接,使用 -t 1 或 -t 4 来减少并行连接的数量,使用 -W 1 或 -W 3 在连接之间等待以允许服务器恢复。Win+R,输入eventvwr.msc,查看日志,可以使用4624,4625分别筛选出登录成功和登录失败的日志。username.txt 和 password.txt ,这里为了能快速的暴破出来,可以使用小一点的密码本。可视化界面,用着很舒服,就是导入的时候比较慢,右上角Filter可以进行关键词筛选。这样查看会比较乱,最好使用工具来进行查看。
windowstelnet日志的位置在哪儿
yuzhanping的专栏
07-09 3523
windows中的telnet功能有没有日志,在哪儿
探索Win-Brute-Logon:一款强大的Windows登录暴力破解日志分析工具
gitblog_00055的博客
04-11 412
探索Win-Brute-Logon:一款强大的Windows登录暴力破解日志分析工具 项目地址:https://gitcode.com/DarkCoderSc/win-brute-logon 项目简介 Win-Brute-Logon 是一个由DarkCoderSc开发的开源项目,旨在帮助系统管理员和安全研究人员分析Windows系统的登录暴力破解尝试。通过解析Windows事件日志,该项目能够提供...
第二十八课:基于MSF发现内网存活主机第六季1
08-03
4. `auxiliary/scanner/rdp/rdp_scan`:扫描远程桌面协议(RDP),以确定Windows主机是否启用远程桌面。 5. `auxiliary/scanner/smtp/smtp_version`:扫描SMTP(简单邮件传输协议)服务的版本信息。 第五季的模块...
第二十六课:基于MSF发现内网存活主机第四季1
08-03
5. `auxiliary/scanner/smb/smb_version`:SMB版本扫描,针对Windows系统,获取SMB服务的版本信息。 第二季,介绍了另外五个模块: 1. `auxiliary/scanner/ssh/ssh_version`:SSH版本扫描,识别目标SSH服务的版本,...
SNETCracker:超级弱口令检查工具是一款Windows平台的弱口令审计工具,支持批量多线程检查,可快速发现弱密码、弱口令账号,密码支持和用户名结合进行检查,大大提高成功率,支持自定义服务端口和字典
05-10
工具采用C#开发,需要安装.NET Framework 4.0,工具目前支持SSHRDPSMB、MySQL、SQLServer、Oracle、FTP、MongoDB、Memcached、PostgreSQL、Telnet、SMTP、SMTP_SSL、POP3、POP3_SSL、IMAP、IMAP_SSL、SVN、VNC、...
Linux下暴力破解工具Hydra详解
07-22
Oracle Listener, Oracle SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP/R3, SIP, SMB, SMTP, SMTP Enum, SNMP, SOCKS5, SSH (v1 and v2), Subversion, Teamspeak (TS2), Telnet,...
SMB协议分析,详细分析了局域网中访问共享文件夹的数据连接过程。
02-22
剖析局域网中访问共享文件夹时的连接过程,对于想分析这种通信方式的朋友会有非常大的指导作用。
一个抓包(smb 445)工具
03-24
一个小程序,监控是否有brute force attack. 判断依据是2秒内有多于来自同一个IP的20个请求,就认为是攻击。
Debug日志:Windows7或Windows10下如何调出telnet
sunshineman1986的博客
07-17 556
Windows7或者Windows10系统的命令行窗口下,不能运行telnet命令时,是由于没有安装telnet客户端的缘故。只需在“控制面板”-“程序与功能”中,打开“打开或关闭Windows功能”,在“telnet客户端”的复选框前打钩,点击“确定”,等程序运行完毕即可。再在命令行窗口输入telnet,即可转入telnet客户端执行。若要退出telnet客户端,需输入quit,而不是exit...
【应急响应】————1、FTP暴力破解
Fly_鹏程万里
02-22 802
【应急场景】 前段时间,某网站一直被网站管理员吐槽响应速度变得很慢,安全服务工程师小C接到用户反馈后就第一时间登录了服务器,发现服务器非常卡,虽然重启服务器就能保证一段时间的正常访问,但是网站响应状态时而飞快时而缓慢,快则1-2秒,慢则2分钟以上。 小C针对网站服务器异常,把系统日志和网站日志作为排查处理的重点,他查看Window安全日志,发现大量登录失败的记录: 到这里,小C知道下一步...
应急响应经典案例-FTP 暴力破解
希望我的博客,能帮上你解决学习中工作中所遇到的问题
07-27 622
这种登录表明这是一个像类型3一样的网络登录,但是这种登录的密码在网络上是通过明文传输的,WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的,据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。从昨天开始,网站响应速度变得缓慢,网站服务器登录上去非常卡,重启服务器就能保证一段时间的正常访问,网站响应状态时而飞快时而缓慢,多数时间是缓慢的。针对网站服务器异常,系统日志和网站日志,是我们排查处理的重点。
为什么在telnet登入界面下没有日志输出?
sydyh43的博客
07-23 971
569号进程的输出目标是/dev/console,即串口。其中0是标准输入,1是标准输出,2是标准错误输出。3.2、因此只需要把进程的fd0,1,2软链接到对应telnet的节点下,如/dev/pts/0。3.1、每增加一路telnet连接,系统就会在/dev/pts目录下创建设备节点。2、因此我们只需要查看telnet进程,fd的0,1,2号软链接的情况即可。1、每个进程的输入输出导向目标都可以在进程号下的fd软链接上查看。从图中可以看出,内容输出直接导向到/dev/null,即全部抛弃。...
Windows OpenSSH Server 问题记录
qq_51423450的博客
12-06 699
本机使用ssh连接本机时要密码,然而本机是无密码的,亚麻呆住。然后对用户设置密码后,ssh时输入新设置的密码还是不行。 设置账户锁屏密码。进入 找到 文件进行更改。对: 和 这2行用#进行注释:重启 sshd 图2ssh localhost #用户名随意替换输入密码后成功:
Windows SMB/RDP日志溯源总结
热门推荐
travelnight的博客
02-10 1万+
Windows SMB/RDP日志溯源总结 在以往涉及到Windows安全事件处理的时候,经常需要分析windows日志。对日志进行分析溯源的时候SMB/RDP日志是非常重要的一部分。比如:RDP入侵植入勒索病毒,drivelife等利用SMB暴力破解传播的病毒。 注:本文举例均为win7系统。 日志提取 使用“eventvwr.exe”直接打开事件管理器,可以直接查看和筛选日志。 直接访问日志文件路径也可提取 C:\Windows\System32\winevt\Logs 一般重点关注securi
RDP\SSH\VNC\RemoteAPP\Telnet\FTP\SFTP
08-18
这是一组常见的远程连接协议和工具: - RDP(Remote Desktop Protocol):用于远程桌面连接和管理Windows操作系统。 - SSH(Secure Shell):用于通过加密的通信通道远程登录和管理Linux或Unix系统。 - VNC(Virtual Network Computing):允许用户通过网络远程控制和查看另一台计算机的屏幕。 - RemoteAPP:允许用户在本地计算机上运行远程服务器上的应用程序,而无需将整个桌面传输。 - Telnet:用于通过网络远程登录和管理远程主机的协议,但由于安全性较差,现在很少使用。 - FTP(File Transfer Protocol):用于在客户端和服务器之间传输文件。 - SFTPSSH File Transfer Protocol):基于SSH安全通道的文件传输协议,提供了加密的文件传输功能。 这些协议和工具可以帮助用户在不同计算机之间进行远程连接和文件传输。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值