Fallas de auditoría de RDP Ataques de fuerza bruta

0

Necesito ayuda para rastrear la fuente de estos intentos de acceso RDP en nuestro servidor de terminal.

El puerto 3389 está abierto en el firewall (sé que esta es una práctica terrible. No quiero escuchar consejos sobre el uso de una VPN para el acceso a la LAN). Revisé las auditorías de seguridad y puedo ver que nos golpean cada segundo con un ataque de diccionario. He comprobado los eventos operativos RemoteDesktopServices-RdpCoreTS para las direcciones IP. Ninguna dirección IP ha tenido entradas repetidas, excepto aproximadamente 1 o 2 ... así que creo que están falsificando la IP.

Nuestro firewall tampoco muestra conexiones de puerto 3389 activas durante los ataques.

¿Es posible que haya una infección en una computadora local causando esto? Es muy confuso, pero todavía estoy en la escuela, así que no estoy completamente equipado con conocimientos.

    
pregunta Anonymous Apprentice 13.12.2017 - 18:33
fuente

1 respuesta

1

No es probable que sea una falsificación (el atacante no sabría si tuvo éxito), pero es más probable que una red de bots que recorre sus nodos para atacarte. Es por eso que es una gama de IPs. Hacen un ciclo así para que ninguna IP active un bloque.

Entonces, tampoco es probable que sea una computadora local.

Este comportamiento no es extraordinario ni inesperado. Solo negocios como de costumbre en internet. Por eso no se recomienda exponer servicios como este a menos que tenga mitigaciones implementadas, ya que solo permite que ciertas IP se conecten al puerto 3389.

    
respondido por el schroeder 13.12.2017 - 18:38
fuente

Lea otras preguntas en las etiquetas