Ho bisogno di aiuto per rintracciare l'origine di questi tentativi di accesso RDP sul nostro terminal server.
La porta 3389 è aperta sul firewall (so che questa è una pratica terribile. Non voglio sentire consigli sull'utilizzo di un accesso VPN per LAN). Ho controllato gli audit di sicurezza e posso vedere che veniamo colpiti quasi ogni secondo con un attacco di dizionario. Ho controllato gli eventi operativi di RemoteDesktopServices-RdpCoreTS per gli indirizzi IP. Nessun indirizzo IP ha avuto voci ripetute, ad eccezione di circa 1 o 2 .. quindi credo che stiano falsificando l'IP.
Anche il nostro firewall non mostra connessioni di porta 3389 attive durante gli attacchi.
È possibile che ci sia un'infezione in un computer locale che causa questo? È molto confuso, ma sono ancora a scuola quindi non sono completamente dotato di conoscenza.