Thousands of failed logins [Code 4625]

Question

Thousands of failed logins [Code 4625]

I'm getting many failed logins on my windows root server.

I already blocked RDP Port, but In the event viewer I still see many failed logins. They look like this:

Fehler beim Anmelden eines Kontos.

Antragsteller:
    Sicherheits-ID:     NULL SID
    Kontoname:      -
    Kontodomäne:        -
    Anmelde-ID:     0x0

Anmeldetyp:         3

Konto, für das die Anmeldung fehlgeschlagen ist:
    Sicherheits-ID:     NULL SID
    Kontoname:          Administrator
    Kontodomäne:        JSJFIDC

Fehlerinformationen:
    Fehlerursache:      Unbekannter Benutzername oder ungültiges Kennwort.
    Status:             0xc000006d
    Unterstatus::       0xc000006a

Prozessinformationen:
    Aufrufprozess-ID:   0x0
    Aufrufprozessname:  -

Netzwerkinformationen:
    Arbeitsstationsname:    JSJFIDC
    Quellnetzwerkadresse:   222.186.21.162
    Quellport:      3074

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:             NtLmSsp 
    Authentifizierungspaket:    NTLM
    Übertragene Dienste:        -
    Paketname (nur NTLM):       -
    Schlüssellänge:             0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert.
Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an,
von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst
wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder
"Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten
Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an,
für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.
Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen
Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte
Informationen zu dieser speziellen Anmeldeanforderung.
    - Die übertragenen Dienste geben an, welche Zwischendienste an
      der Anmeldeanforderung beteiligt waren.
    - Der Paketname gibt das in den NTLM-Protokollen verwendete
      Unterprotokoll an.
    - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels
      an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

The problem is it looks like a brute force attack. The source IP (222.186.21.162 in this case) is different every time and I get failed logins nearly every second.

Important is this part:

 Anmeldeprozess:                NtLmSsp 
 Authentifizierungspaket:       NTLM
 ......
 Fehlerursache:      Unbekannter Benutzername oder ungültiges Kennwort.

It says

 Authentication Process:        NtLmSsp 
 Auth Packet:                   NTLM
 ......
 Problem:                       Unknown username or password

So I guess it has something todo with NTLM..

Do I need NTLM? Or is there a possibility to block it?

windows-firewall

ntlm

asked on Super User Jul 3, 2017 by

modsfabio • edited Jul 3, 2017 by

modsfabio

1 Answer

Anything and everything that is open to the internet is going to get attacked constantly. A Windows system directly on the internet is a terrible idea and you should pull as much of it behind the firewall as possible. If someone needs access to that server, install some VPN software and grant them access through that, (also make sure the passwords are very strong and use keys if possible); and if you can, segregate that system off of your network as well. The VPN will limit the potential attack vectors. It can be a flaw since it's a single point of failure; but it can be hardened to help reduce the possibility of being breached.

Returning to your question, the NTLM is the LAN Manager and it's how Windows does authentication for various things, it cannot be disabled without breaking a lot of things. Seeing a bunch of failed login attempts constantly could definitely be a sign of a brute-force attack as you've stated. Malware like WannaCry is being spread by having Windows services directly on the internet, (SMBv1 a.k.a Windows File Sharing). Plug those holes up and let anyone that states that they don't want to be inconvenienced with a VPN step that they're asking for malware such as WannaCry.

Indeed, the ‘ransomworm’ that took the world by storm was not distributed via an email malspam campaign. Rather, our research shows this nasty worm was spread via an operation that hunts down vulnerable public facing SMB ports and then uses the alleged NSA-leaked EternalBlue exploit to get on the network and then the (also NSA alleged) DoublePulsar exploit to establish persistence and allow for the installation of the WannaCry Ransomware.

How did the WannaCry ransomworm spread? - Malwarebytes Labs | Malwarebytes Labs

answered on Super User Jul 3, 2017 by

Blerg

User contributions licensed under CC BY-SA 3.0