Circa un anno fa il mio server Windows Server 2008 R2 è stato violato. Ho avuto RDP aperto al mondo, lo so, non è una buona idea. Essendo che era un anno fa non ho nessuno dei log, ma stavo pensando a qualcosa oggi.
Come hanno ottenuto il nome utente?
Non era l'account dell'amministratore, tuttavia, l'amministratore era attivo e in uso, che era l'unico modo in cui sapevo che erano lì. Inoltre, non c'era l'impostazione della politica delle password. Questo server non è per niente importante. Lo uso più come un parco giochi.
Per circa 12 ore un IP fuori dalla Polonia mi ha costretto a forzare il mio server. Guardando i log di audit post incidente ho notato circa 12k, forse più, tentativi di ottenere il nome utente e la password corretti.
Ho notato che iniziarono con quella che sembrava un'ipotesi plausibile di nomi utente, principalmente nomi comuni, quindi in qualche modo ottennero il nome utente corretto che iniziarono con la supposizione della password.
Ho visto questo accadere per due motivi:
- Per vedere se potevano entrare.
- Per vedere cosa stavano cercando.
Una volta entrati, ho usato VNC per guardare il desktop per vedere cosa stavano facendo. Stavano essenzialmente esaminando tutto, ma dal momento che l'utente aveva privilegi minimi, non potevano ottenere troppo.
Sì, ho dato l'accesso RDP dell'utente ma non molto altro.
Quando ho provato questo solo ora e ho inserito il nome utente corretto / password errata vs nome utente errato / password errata non ho visto nulla per indicare che il nome utente era giusto o sbagliato.
Come facevano a sapere di aver trovato il nome utente giusto? Quale software o programma potrebbero aver utilizzato?