最近我们注意到我们的一些服务器每天大约有 2000 次登录尝试。所有尝试都使用管理员帐户,只是密码错误。
仔细查看后,我们发现其中一台服务器(运行 Windows Server 2012 r2)的 RPC 正在自动尝试这些登录。我们尝试在防火墙上阻止 RPC 服务,但没有成功。
RPCSS 上有关登录帐户的任何选项都显示为灰色,所以问题是:
究竟发生了什么?我该如何阻止 RPCSS 这样做?
它看起来像一次攻击,但由于它不会更改用户名,而只是尝试使用一个帐户,所以它看起来确实像是服务在做这件事。