RDP Audit Failures Brute Force Attacks

0

Ho bisogno di aiuto per rintracciare l'origine di questi tentativi di accesso RDP sul nostro terminal server.

La porta 3389 è aperta sul firewall (so che questa è una pratica terribile. Non voglio sentire consigli sull'utilizzo di un accesso VPN per LAN). Ho controllato gli audit di sicurezza e posso vedere che veniamo colpiti quasi ogni secondo con un attacco di dizionario. Ho controllato gli eventi operativi di RemoteDesktopServices-RdpCoreTS per gli indirizzi IP. Nessun indirizzo IP ha avuto voci ripetute, ad eccezione di circa 1 o 2 .. quindi credo che stiano falsificando l'IP.

Anche il nostro firewall non mostra connessioni di porta 3389 attive durante gli attacchi.

È possibile che ci sia un'infezione in un computer locale che causa questo? È molto confuso, ma sono ancora a scuola quindi non sono completamente dotato di conoscenza.

    
posta Anonymous Apprentice 13.12.2017 - 18:33
fonte

1 risposta

1

Non è probabile una parodia (l'attaccante non saprebbe se hanno avuto successo) ma più probabilmente una botnet che cicla attraverso i suoi nodi per attaccarti. Ecco perché è una gamma di IP. Ciclano così in modo che nessun IP innesca un blocco.

Quindi è anche improbabile che si tratti di un computer locale.

Questo comportamento non è né straordinario né inaspettato. Solo affari come al solito su Internet. Ecco perché l'esposizione di servizi come questo non è raccomandata a meno che non ci siano mitigazioni sul posto, come solo consentire a determinati IP di connettersi alla porta 3389.

    
risposta data 13.12.2017 - 18:38
fonte

Leggi altre domande sui tag