当前位置：首页 > news >正文

服务器日志出现大量NTLM(NT LAN Manager)攻击

news 2026/2/11 3:01:01

日志名称:Security
来源: Microsoft-Windows-Security-Auditing
日期: 2023/8/30 20:57:40
事件 ID:4625
任务类别:登录
级别: 信息
关键字: 审核失败
用户: 暂缺
计算机: WIN-QBJ3ORTR0CF
描述:
帐户登录失败。

主题:
   安全 ID:NULL SID
   帐户名:-
   帐户域:-
   登录 ID:0x0

登录类型:3

登录失败的帐户:
   安全 ID:NULL SID
   帐户名:ADMINISTRATOR
   帐户域:

失败信息:
   失败原因:未知用户名或密码错误。
   状态:0xc000006d
   子状态:0xc000006a

进程信息:
调用方进程 ID:0x0
调用方进程名:-

网络信息:
   工作站名:
   源网络地址:   -
   源端口:-

详细身份验证信息:
   登录进程:NtLmSsp
   身份验证数据包:   NTLM
   传递服务:   -
   数据包名(仅限 NTLM):   -
   密钥长度:0

登录请求失败时在尝试访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用，而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
   -“传递服务”指明哪些直接服务参与了此登录请求。
   -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
   -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥，则此字段为 0。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2023-08-30T12:57:40.100456500Z" />
<EventRecordID>60611276</EventRecordID>
<Correlation />
<Execution ProcessID="568" ThreadID="2376" />
<Channel>Security</Channel>
<Computer>WIN-QBJ3ORTR0CF</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">ADMINISTRATOR</Data>
<Data Name="TargetDomainName">
</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc000006a</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>

解决方案：

服务器日志出现大量NTLM(NT LAN Manager)攻击

相关文章：

服务器日志出现大量NTLM(NT LAN Manager)攻击

Spring学习|Spring简介、IOC控制反转理解、IOC创建对象方式

DDR2 IP核调式记录2

【ES6】js 中class的extends、super关键字用法和避坑点

mysql排名函数row_number()over(order by)和with * as 的用法

linux局域网IP地址冲突检测

远距离WiFi模组方案，实现移动设备之间高效通信，无人机远程图传应用

Docker构建Springboot项目，并发布测试

flutter架构全面解析

QHttpServer

21.3 CSS 背景属性

Ansible 常用命令50条

ceph源码阅读 erasure-code

C++ 之命名空间

MyBatis关系映射

DVWA失效的访问控制

docker 笔记2 Docker镜像和数据卷

java springboot 时间格式序列化 UTC8

攻防世界-Get-the-key.txt

MyBatisPlus之DQL编程控制

浏览器访问 AWS ECS 上部署的 Docker 容器（监听 80 端口）

wordpress后台更新后前端没变化的解决方法

VB.net复制Ntag213卡写入UID

什么是EULA和DPA

Rust 异步编程

AI编程--插件对比分析：CodeRider、GitHub Copilot及其他

【OSG学习笔记】Day 16: 骨骼动画与蒙皮（osgAnimation）

QT： `long long` 类型转换为 `QString` 2025.6.5

Go 并发编程基础：通道（Channel）的使用

DeepSeek源码深度解析 × 华为仓颉语言编程精粹——从MoE架构到全场景开发生态