无忧启动论坛

标题: 服务器上密密麻麻的4625事件，该如何处理 [打印本页]

作者: xxx9750 时间: 昨天 09:20
标题: 服务器上密密麻麻的4625事件，该如何处理
如题，有人暴力破解枚举administrator密码，有人说把密码设置复杂一点不用搭理他，但是真是眼中钉肉中刺啊。试过加windows防火墙、路由器黑名单、更改过组策略，都没用，每天不停的来弄你，真的好心烦哦

作者: 印第安老斑鸠 时间: 昨天 09:32
按理来说密码很复杂的话，压根不用管，有强迫症的把来宾账户禁用了，或者直接关闭3389端口，改用其他的远程软件来替代

作者: xxx9750 时间: 昨天 09:47

印第安老斑鸠发表于 2025-10-14 09:32
按理来说密码很复杂的话，压根不用管，有强迫症的把来宾账户禁用了，或者直接关闭3389端口，改用其他的远程 ...

22位大小写数字加符号，来宾已禁用，3389也改了，必须得用mstsc远程，还是没辙

作者: 肉仔 时间: 昨天 10:17
来看看

作者: holley2008 时间: 昨天 10:34
枚举的话不是有重复多少次就封禁IP的手段么

作者: 12qaz 时间: 昨天 10:34
就路由器原始的8为密码大小写和数字组合的，就已经足够安全了，暴力破解基本没什么可能。

作者: 面条渣渣 时间: 昨天 10:35
技术贴，谢谢分享

作者: 蘭蘭 时间: 昨天 10:37
目前还没发现！

作者: 2747157 时间: 昨天 10:37
看看

作者: 2747157 时间: 昨天 10:38
学习学习

作者: xxx9750 时间: 昨天 10:42

holley2008 发表于 2025-10-14 10:34
枚举的话不是有重复多少次就封禁IP的手段么

咋弄呢？请教一下大佬

作者: holley2008 时间: 昨天 10:58

xxx9750 发表于 2025-10-14 10:42
咋弄呢？请教一下大佬

很多种方式，比较常见的是借用防火墙软件，也可以使用针对性的工具，比如fail2ban、EvlWatcher等

作者: aaaaa54606 时间: 昨天 11:01
这个是软路由上的防火墙敲门案例：
Routeros敲门准入：配置要求在5秒内按顺序发送指定大小TCP包到指定的TCP端口-成功后允许访问指定TCP端口=22一小时
/ip firewall filter
add chain=input action=add-src-to-address-list address-list=knock_temp1 address-list-timeout=5s protocol=tcp dst-port=1000 psd=21,3,3,1 comment="Stage 1: TCP端口1000接收21字节包"
add chain=input action=add-src-to-address-list address-list=knock_temp2 address-list-timeout=5s protocol=tcp dst-port=2000 psd=45,3,3,1 src-address-list=knock_temp1 comment="Stage 2: TCP端口2000接收45字节包"
add chain=input action=add-src-to-address-list address-list=allowed address-list-timeout=1h protocol=tcp dst-port=3000 psd=78,3,3,1 src-address-list=knock_temp2 comment="Stage 3: TCP端口3000接收78字节包"
/ip firewall filter
add chain=input action=accept src-address-list=allowed protocol=tcp dst-port=22 comment="允许SSH访问"
add chain=input action=drop protocol=tcp dst-port=22 comment="默认拒绝SSH"

高级配置建议
使用/tool firewall connection tracking可增强状态检测
结合/ip firewall raw表可提升处理效率
通过/system script可添加敲门失败报警机制
注意：实际部署时应替换示例端口和包大小为非公开值，并考虑结合IPsec增强安全性
希望可以帮到你。

作者: aaaaa54606 时间: 昨天 11:09
未经敲门允许的访问，直接禁止了，这样你的服务器安全多了。
除了服务器需要开放的端口，其它的一律禁止，这样的服务器，安全级别高多了。

作者: 2012KFC 时间: 昨天 11:09
感谢分享

作者: xxx9750 时间: 昨天 11:31

aaaaa54606 发表于 2025-10-14 11:01
这个是软路由上的防火墙敲门案例：
Routeros敲门准入：配置要求在5秒内按顺序发送指定大小TCP包到指定的TC ...

感谢大神的指导，我们就小型windows服务器而已，这个暂时用不上

作者: xxx9750 时间: 昨天 11:37
本帖最后由 xxx9750 于 2025-10-14 11:42 编辑

holley2008 发表于 2025-10-14 10:58
很多种方式，比较常见的是借用防火墙软件，也可以使用针对性的工具，比如fail2ban、EvlWatcher等

感谢感谢，EvlWatcher已经用上了，我也传了蓝奏，有需要的请下载使用吧htt删ps://ww删hx.lanz删oum.c删om/ieDas38d4d0h 密码:1cbe

作者: mark007 时间: 昨天 11:51
难道，又是被漂亮国的黑客盯上了。你这里面有宝贝？

作者: a66 时间: 昨天 12:24
关闭不用的端口

作者: sdb5168 时间: 昨天 13:32
我来看看

作者: liuqiying177 时间: 昨天 13:44
不错不错

作者: yhage 时间: 昨天 13:54
不怕暴力，就怕有漏洞

作者: 绿光科技 时间: 昨天 14:08
用计划任务定时读取事件日志然后将4625事件中的IP全部列到防火墙中去屏蔽

作者: guong 时间: 昨天 14:13
进来学习一下

作者: haduke 时间: 昨天 14:22
用火绒杀毒，可以防御3389的暴力破解

PixPin_2025-10-14_14-22-06.png (95.28 KB, 下载次数: 6)

微信图片_2025-10-14_141914_195.png (81.24 KB, 下载次数: 4)

作者: 门口 时间: 昨天 14:36
最简单的不是改掉用户名吗？
然后用过防火墙软件自动屏蔽爆破的，以前我用过单独RdpGuard来自动拉黑IP，再改个四五万的端口。

作者: aduge38 时间: 昨天 15:02
学习学习，努力提升

作者: chenye4 时间: 昨天 15:24
学习学习

作者: seeimpact153 时间: 昨天 17:16
学习提升

作者: 熄灭的火焰 时间: 昨天 17:35
我之前是将原administrator改名比如改为xxssduuuiieee333
新建一个administrator并设置位数超长的密码，自己都记不住的那种，128位，256位，有多长弄多长。权限不多，不拒绝远程登录，让其一直尝试，并开启锁定策略，3次密码失败锁定600秒或者更多，忘了当时设置多少了。

让他的努力都白费，顿时心情愉悦。

作者: 燕飞龙 时间: 昨天 17:41
感谢分享

作者: xxx9750 时间: 半小时前

haduke 发表于 2025-10-14 14:22
用火绒杀毒，可以防御3389的暴力破解

好的，谢谢啦，这个好去看看

作者: xuxiaojie120 时间: 27 分钟前
学习学习

欢迎光临无忧启动论坛 (http://bbs.c3.wuyou.net/)