Uno de nuestros servidores (que ejecuta RdpGuard) muestra varios intentos fallidos de máquinas de usuarios específicos (3 para ser exactos) y no puedo averiguar qué los está causando. Un usuario es local y dos son remotos utilizando VPN.
Hoy hay un patrón en los intentos.
Los tres IP son 192.168.1.11, 192.168.1.45 y 192.168.1.85
El patrón es el siguiente:
Failed attempt from: 192.168.1.48 (remote vpn)
Failed attempt from: 192.168.1.48 (remote vpn)
Failed attempt from: 192.168.1.11 (remote vpn)
Failed attempt from: 192.168.1.11 (remote vpn)
Failed attempt from: 192.168.1.85 (local)
Failed attempt from: 192.168.1.11 (remote vpn)
Estos intentos ocurren cada ~ 4-5 minutos en ese orden específico de hoy.
He ejecutado varias exploraciones de malware / rootkit / virus que no arrojaron resultados.
ACTUALIZACIÓN 1:
Los intentos de RDP ahora vienen de máquinas aleatorias dentro de la LAN local. Los servidores y las estaciones de trabajo se ven afectados.
ACTUALIZACIÓN 2:
Entonces, después de leer un poco más, pude averiguar sobre el archivo netlogon.txt (en el DC principal). Desde allí pude determinar el origen y el destino de los intentos de todos estos intentos de RDP. Ejecuté procmon en la máquina de origen y emparejé el evento del archivo de inicio de sesión de red (en el PDC) con el evento de correlación en la máquina de destino. Tomé el puerto de origen utilizado que se registró en el visor de eventos (seguridad) en la máquina de destino y comparé el procmon filtrado utilizando ese número de puerto. Eso me dio el proceso / PID del culpable, que era un servicio de administración de red utilizado por "Advanced Monitoring Agent" / RMM, que es un software MSP de solarwinds (busqué el PID en el Administrador de tareas).
Entonces, por alguna razón, el agente de MSP estaba tratando de RDP usando la cuenta de invitado. Seguí adelante y lo desinstalé de todas las máquinas y servidores de los usuarios locales. Lo he dejado en las máquinas de los usuarios en sitios remotos, ya que creo que no hay intentos de hacerlo (debido a que están en una subred diferente). También he eliminado a los usuarios de VPN del dominio y ahora acceden a los archivos internos utilizando 2xRDP.