Attacco di forza bruta RDP non riuscito dall'indirizzo IP di Microsoft?

3

Uso RDPGuard sul mio server web. Ho notato che ha bloccato un indirizzo IP che sembrava provenire da un indirizzo IP registrato da Microsoft:

Process Information:
Caller Process ID:  0xf78
Caller Process Name:    C:\Windows\System32\winlogon.exe

Network Information:
Workstation Name:   BLAH
Source Network Address: 168.62.177.31
Source Port:        36038

Guardando il servizio whois di rdpguard posso vedere che questo è un IP Microsoft:

WHOIS Source:      ARIN
IP Address:        168.62.177.31
Country:           USA - Washington
Network Name:      MSFT-EP
Owner Name:        Microsoft Corp
From IP:           168.61.0.0
To IP:             168.63.255.255
Allocated:         Yes
Contact Name:      Microsoft Corp
Address:           One Microsoft Way, Redmond
Email:             [email protected]
Abuse Email:       [email protected]
Phone:             +1-425-882-8080 

http://rdpguard.com/free-whois.aspx?src=app&v=1-2-5&fam=x64&affid=self&ip=168.62.177.31

Qualcuno l'ha mai visto prima? Qualcuno sa perché questo sarebbe successo?

    
posta user989056 04.01.2013 - 14:53
fonte

2 risposte

3

Come indicato da SteveS di seguito, è possibile che si tratti di un server Azure che presenta un comportamento anomalo. Azure è una piattaforma di server cloud che viene eseguita da Microsoft. Ciò significherebbe anche che dovresti veramente contattare le due e-mail sul record di ricerca inversa. Microsoft vorrebbe sapere se si tratta di Azure che viene abusato o di uno degli altri problemi che ho menzionato in origine.

L'unica cosa che mi viene in mente è che se il pacchetto che viene inviato a RDP è significativamente più corto del pacchetto con cui risponde il server RDP, è possibile che questo sia un attacco di tipo "ping of death" eseguito su Microsoft . Fondamentalmente il principio è che l'attaccante effettua una piccola richiesta falsificata su un server per ottenere che quel server risponda alla destinazione con una quantità di informazioni molto più grande. Il ping originale della morte stava configurando due server in modo che interpretassero costantemente la risposta come una richiesta e rispondessero, il che rendeva un ciclo infinito che avrebbe portato uno o entrambi i server vittime verso il basso. Probabilmente non c'è una condizione di loop qui, ma è almeno una possibilità.

Questo o Microsoft in realtà ha un sistema compromesso nella loro rete e viene utilizzato come un bot, che è anche del tutto possibile.

Non sono a conoscenza di alcun motivo generale e legittimo per cui Microsoft sta tentando di connettersi al proprio RDP. Ti consigliamo di contattare l'abuso o gli indirizzi di iprrms e vedere cosa dicono.

    
risposta data 04.01.2013 - 15:46
fonte
0

A volte, gli strumenti whois non ti dicono la vera informazione degli indirizzi IP. La maggior parte dei server Windows subisce attacchi di forza bruta RDP. Uno dei miei server riceve circa 10 attacchi RDP ogni giorno, anche se è solo un server di prova e non ci sono applicazioni in esecuzione su quel server. Io uso invece anti ddos guardian , che interrompe gli attacchi RDP e rallenta gli attacchi http ddos.

    
risposta data 23.06.2013 - 14:31
fonte

Leggi altre domande sui tag