虚拟服务器:RDP 受到攻击?

虚拟服务器:RDP 受到攻击?

我新购置的 Windows 2008 虚拟服务器现在在其安全日志中有 3,500 个条目(三天内),其中大多数是事件 ID 4625:“帐户登录失败”。

登录尝试似乎相当快 - 每秒大约 10-20 次尝试。我猜这是一次攻击 - 对吗?

看起来攻击者(我就用这个名字吧)并没有成功登录,而且由于密码很长很复杂,所以暴力破解密码应该不容易……

但是,我想知道我是否可以系统地做些什么?更改 rdp 端口​​怎么样?硬件防火墙可能会有帮助?

此外,该服务器现在只托管一个尚未公开的网站,所以我没想到这么快就会有这种流量。有点模糊:网站上线后情况会变得更糟吗?

答案1

有可能。不过,这也可能是应用程序试图使用密码已更改或已过期的凭证登录。

您应该仔细查看事件并确定:- 正在发生哪种登录?查看它是 RDP 还是其他类型的访问 - 正在尝试哪些帐户名(如果是随机的您不认识的帐户名,或者遍历 AZ 名称,那么肯定是攻击)

除此之外,请验证您的服务器的 RDP 是否可以公开访问。如果是这样,您真的需要这样做吗?如果您的虚拟服务器位于您的组织内,请锁定您的公共防火墙以防止这种情况发生(或要求负责防火墙的管理员这样做)。如果它在云端,提供商应该提供用于控制网络访问的接口(虚拟防火墙)。

如果你的网络上有服务器,但没有适当的防火墙,那么你将面临一个相当严重的安全问题。这些盒子应该可用仅在操作所需的端口上,因此基本的 Web 服务盒应该只具有针对端口 80 和 443(如果提供 SSL)的出站防火墙规则。

安全永远不应该从另一个方向着手(一开始是全部允许,然后只锁定特定项目)。同样,移至非标准端口只会稍微提高安全性。

答案2

您的 IP 可能被扫描,RDP 被检测到,有人决定尝试暴力破解。一旦您的网站上线,尝试的次数可能会增加,但无法预测未来。

您应该能够从密钥HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下更改 RDP 端口PortNumber

安装防火墙时,请注意不要将自己锁定。据我所知,您可以通过配置帐户锁定策略来设置最大登录尝试次数。

答案3

我的 VPS 也遇到了同样的问题 - 除了 RDP,他们还试图远程入侵 SQL Server。结果,在几个月的时间里,他们用不断扩大的日志逐渐填满了我的磁盘空间!

我的解决方案是限制谁可以通过 IP 地址连接 - 这些请求现在面临第一个障碍。

正如已经提到的,您还可以更改每个服务的端口 - 可能值得结合 IP 地址进行此​​操作 - 您不能太安全!

我也赞同克里斯对最小特权原则... 封锁一切,然后逐渐开放——但越少越好。

相关内容