C'è un modo per vedere cosa sta causando il programma RDP sul computer

Naviga le tue risposte
5

Uno dei nostri server (che esegue RdpGuard) mostra più tentativi falliti da macchine di utenti specifici (3 per essere precisi) e non riesco a capire cosa li sta causando. Un utente è locale e due sono remoti tramite VPN.

Oggi c'è un modello nei tentativi.

I tre IP sono 192.168.1.11, 192.168.1.45 e 192.168.1.85

Il modello è il seguente: 

Failed attempt from: 192.168.1.48 (remote vpn)
Failed attempt from: 192.168.1.48 (remote vpn)
Failed attempt from: 192.168.1.11 (remote vpn)
Failed attempt from: 192.168.1.11 (remote vpn)
Failed attempt from: 192.168.1.85 (local)
Failed attempt from: 192.168.1.11 (remote vpn)

Questi tentativi avvengono ogni ~ 4-5 minuti nell'ordine specifico oggi.

Ho eseguito più scansioni malware / rootkit / virus che non hanno restituito risultati.

UPDATE 1:

I tentativi RDP provengono ora da macchine casuali all'interno della LAN locale. I server e le workstation sono interessati.

UPDATE 2:

Quindi dopo un po 'più di lettura sono stato in grado di scoprire il file netlogon.txt (sul DC principale). Da lì sono stato in grado di determinare l'origine e la destinazione dei tentativi di tutti questi tentativi RDP. Ho eseguito procmon sul computer di origine e abbinato l'evento dal file netlogon (sul PDC) all'evento correlato sul computer di destinazione. Ho preso la porta di origine utilizzata che è stata registrata nel visualizzatore eventi (sicurezza) sul computer di destinazione e procona filtrata corrispondente utilizzando quel numero di porta. Questo mi ha dato il processo / PID del colpevole che era un servizio di gestione della rete utilizzato da "Advanced Monitoring Agent" / RMM, un software MSP di solarwinds (ho cercato il PID in Task Manager).

Quindi per qualche motivo l'agente MSP stava provando a RDP usando l'account ospite. Sono andato avanti e disinstallato da tutti i computer e i server degli utenti locali. L'ho lasciato sulle macchine degli utenti dei siti remoti perché non ci sono tentativi da loro (perché sono in una sottorete diversa, credo). Ho anche rimosso gli utenti VPN dal dominio e ora accedono ai file interni usando 2xRDP.

    
posta mend0k 01.05.2018 - 18:20
fonte

2 risposte

2

Se succede ancora ogni 4-5 minuti, andrei a uno (o tutti) dei tre host ed eseguo sysinternals procmon ( link ) per acquisire l'attività del sistema.

Otterrai un sacco di dati, ma se controlli l'aspetto di rete dello strumento, dovresti essere in grado di cercare connessioni al tuo server su TCP: 3389.

I dati Procmon dovrebbero essere in grado di dirti quale processo sta effettuando la connessione e dovresti essere in grado di seguirlo fino all'origine.

Se questi tentativi di connessione si verificano a intervalli regolari, vorrei anche controllare Attività pianificate (o usare CLI schtasks.exe) e rivedere ciò che è elencato lì.

    
risposta data 04.05.2018 - 15:44
fonte
2

Controllare i registri di sicurezza di Windows e cercare i tentativi di accesso. È possibile filtrare in base ai codici evento e cercare il tipo di accesso 10. Si tratta di un login RDP. Potrebbe essere che alcuni servizi in alcuni computer stiano tentando di accedere all'unità con credenziali non corrette.

    
risposta data 02.05.2018 - 01:14
fonte

Leggi altre domande sui tag

Perché la lista dei prefissi dei prefissi di EFF ha parole così lunghe Modo corretto per ottenere certificati CA per la verifica