服务器上密密麻麻的4625事件，该如何处理

xxx9750 · 发表于昨天 09:20

如题，有人暴力破解枚举administrator密码，有人说把密码设置复杂一点不用搭理他，但是真是眼中钉肉中刺啊。试过加windows防火墙、路由器黑名单、更改过组策略，都没用，每天不停的来弄你，真的好心烦哦

印第安老斑鸠 · 发表于昨天 09:32

按理来说密码很复杂的话，压根不用管，有强迫症的把来宾账户禁用了，或者直接关闭3389端口，改用其他的远程软件来替代

xxx9750 · 发表于昨天 09:47

印第安老斑鸠发表于 2025-10-14 09:32
按理来说密码很复杂的话，压根不用管，有强迫症的把来宾账户禁用了，或者直接关闭3389端口，改用其他的远程 ...

22位大小写数字加符号，来宾已禁用，3389也改了，必须得用mstsc远程，还是没辙

肉仔 · 发表于昨天 10:17

来看看

holley2008 · 发表于昨天 10:34

枚举的话不是有重复多少次就封禁IP的手段么

12qaz · 发表于昨天 10:34

就路由器原始的8为密码大小写和数字组合的，就已经足够安全了，暴力破解基本没什么可能。

面条渣渣 · 发表于昨天 10:35

技术贴，谢谢分享

蘭蘭 · 发表于昨天 10:37

目前还没发现！

2747157 · 发表于昨天 10:37

看看

2747157 · 发表于昨天 10:38

学习学习

xxx9750 · 发表于昨天 10:42

holley2008 发表于 2025-10-14 10:34
枚举的话不是有重复多少次就封禁IP的手段么

咋弄呢？请教一下大佬

holley2008 · 发表于昨天 10:58

xxx9750 发表于 2025-10-14 10:42
咋弄呢？请教一下大佬

很多种方式，比较常见的是借用防火墙软件，也可以使用针对性的工具，比如fail2ban、EvlWatcher等

aaaaa54606 · 发表于昨天 11:01

这个是软路由上的防火墙敲门案例：
Routeros敲门准入：配置要求在5秒内按顺序发送指定大小TCP包到指定的TCP端口-成功后允许访问指定TCP端口=22一小时
/ip firewall filter
add chain=input action=add-src-to-address-list address-list=knock_temp1 address-list-timeout=5s protocol=tcp dst-port=1000 psd=21,3,3,1 comment="Stage 1: TCP端口1000接收21字节包"
add chain=input action=add-src-to-address-list address-list=knock_temp2 address-list-timeout=5s protocol=tcp dst-port=2000 psd=45,3,3,1 src-address-list=knock_temp1 comment="Stage 2: TCP端口2000接收45字节包"
add chain=input action=add-src-to-address-list address-list=allowed address-list-timeout=1h protocol=tcp dst-port=3000 psd=78,3,3,1 src-address-list=knock_temp2 comment="Stage 3: TCP端口3000接收78字节包"
/ip firewall filter
add chain=input action=accept src-address-list=allowed protocol=tcp dst-port=22 comment="允许SSH访问"
add chain=input action=drop protocol=tcp dst-port=22 comment="默认拒绝SSH"

高级配置建议
使用/tool firewall connection tracking可增强状态检测
结合/ip firewall raw表可提升处理效率
通过/system script可添加敲门失败报警机制
注意：实际部署时应替换示例端口和包大小为非公开值，并考虑结合IPsec增强安全性
希望可以帮到你。

aaaaa54606 · 发表于昨天 11:09

未经敲门允许的访问，直接禁止了，这样你的服务器安全多了。
除了服务器需要开放的端口，其它的一律禁止，这样的服务器，安全级别高多了。

2012KFC · 发表于昨天 11:09

感谢分享

xxx9750 · 发表于昨天 11:31

aaaaa54606 发表于 2025-10-14 11:01
这个是软路由上的防火墙敲门案例：
Routeros敲门准入：配置要求在5秒内按顺序发送指定大小TCP包到指定的TC ...

感谢大神的指导，我们就小型windows服务器而已，这个暂时用不上

xxx9750 · 发表于昨天 11:37

本帖最后由 xxx9750 于 2025-10-14 11:42 编辑

holley2008 发表于 2025-10-14 10:58
很多种方式，比较常见的是借用防火墙软件，也可以使用针对性的工具，比如fail2ban、EvlWatcher等

感谢感谢，EvlWatcher已经用上了，我也传了蓝奏，有需要的请下载使用吧htt删ps://ww删hx.lanz删oum.c删om/ieDas38d4d0h 密码:1cbe

mark007 · 发表于昨天 11:51

难道，又是被漂亮国的黑客盯上了。你这里面有宝贝？

a66 · 发表于昨天 12:24

关闭不用的端口

sdb5168 · 发表于昨天 13:32

我来看看

liuqiying177 · 发表于昨天 13:44

不错不错

yhage · 发表于昨天 13:54

不怕暴力，就怕有漏洞

绿光科技 · 发表于昨天 14:08

用计划任务定时读取事件日志然后将4625事件中的IP全部列到防火墙中去屏蔽

guong · 发表于昨天 14:13

进来学习一下

haduke · 发表于昨天 14:22

用火绒杀毒，可以防御3389的暴力破解

门口 · 发表于昨天 14:36

最简单的不是改掉用户名吗？
然后用过防火墙软件自动屏蔽爆破的，以前我用过单独RdpGuard来自动拉黑IP，再改个四五万的端口。

aduge38 · 发表于昨天 15:02

学习学习，努力提升

chenye4 · 发表于昨天 15:24

学习学习

seeimpact153 · 发表于昨天 17:16

学习提升

熄灭的火焰 · 发表于昨天 17:35

我之前是将原administrator改名比如改为xxssduuuiieee333
新建一个administrator并设置位数超长的密码，自己都记不住的那种，128位，256位，有多长弄多长。权限不多，不拒绝远程登录，让其一直尝试，并开启锁定策略，3次密码失败锁定600秒或者更多，忘了当时设置多少了。

让他的努力都白费，顿时心情愉悦。

		自动登录	找回密码
密码			注册

[求助] 服务器上密密麻麻的4625事件，该如何处理

点评

点评

点评

点评

点评

点评

点评

浏览过的版块