Windows Server 2008事件ID4625的处理方法

  • 2018-05-23
  • 634
  • 0

网站的搭建起来之后除了更新就没有怎么管过关于服务器方面的问题,直到今天要登录宝塔的时候发现要验证码,而宝塔的验证码触发机制是输错密码才会出现验证码。我的密码一直都是保存在浏览器的,所以不存在密码错误。于是在登录上去之后查看了一下登录日志,发现好多密码错误的登录日志。

想想也是,自从搭建起来之后除了密码设置的超级复杂,修改了用户名以外,就没有修改过端口。赶紧修改端口。

然后去服务器上看了看事件查看器,这不看不知道一看吓一跳,平均每秒至少有一次的破解登录

这次真的的感谢我设置的密码超级复杂了十几位大小写数字字符,先是修改了远程登录的3389端口,重启后4625时间ID依旧是不停的在刷新。

想到服务器上架之后就没有做过什么安全,也是大意了。关闭于是连续又关闭了135,139,445端口。之后就没有在出现过4625的事件ID了

这里提供一个关闭135,139,445端口及修改3389默认端口的批处理:

 


@echo off
color 0a
title @@ 使用ipsec双向禁止137,139,445端口,更改远程端口 @@
echo ******************************************************************
echo * 请确保没有安全软件或权限拦截 ,使用ipsec双向禁止137,139,445端口*
echo ******************************************************************
echo.
@ netsh ipsec static add filteraction block action=block
@ netsh ipsec static add policy BAN-135-137-139-445 assign=yes

@ netsh ipsec static add filter filterlist=137and139and445 srcaddr=any dstaddr=any protocol=TCP dstport=135
@ netsh ipsec static add filter filterlist=137and139and445 srcaddr=any dstaddr=any protocol=TCP dstport=137
@ netsh ipsec static add filter filterlist=137and139and445 srcaddr=any dstaddr=any protocol=TCP dstport=139
@ netsh ipsec static add filter filterlist=137and139and445 srcaddr=any dstaddr=any protocol=TCP dstport=445
@ netsh ipsec static add filter filterlist=137and139and445 srcaddr=any dstaddr=any protocol=UDP dstport=135
@ netsh ipsec static add filter filterlist=137and139and445 srcaddr=any dstaddr=any protocol=UDP dstport=137
@ netsh ipsec static add filter filterlist=137and139and445 srcaddr=any dstaddr=any protocol=UDP dstport=139
@ netsh ipsec static add filter filterlist=137and139and445 srcaddr=any dstaddr=any protocol=UDP dstport=445
@ netsh ipsec static add rule name=BAN-137-139-445 policy=BAN-137-139-445 filterlist=137and139and445 filteraction=block
echo.
echo 现在已经禁止135,137,139,445端口
echo.
echo 按任意键更改远程端口,如无需更改请右上角关闭本窗口
pause>nul
echo *******************************************************************************
echo * 请确保没有安全软件或权限拦截,端口推荐范围:10000-65535,不能与其他端口冲突 *
echo *******************************************************************************
echo.
set /p port=请输入端口号:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumber /t reg_dword /d %port% /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t reg_dword /d %port% /f
echo.
echo ***************************
echo * 远程端口需重启服务器生效*
echo ***************************
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0 /f
echo.
echo 按任意键退出...
pause>nul
exit

复制以上代码到文本文档保存为bat格式即可。

评论

还没有任何评论,你来说两句吧

鄂ICP备09018262号-4

备案鄂公网安备 42010302000542号 - Theme by Qzhai