我在运行 Server 2008 R2 的计算机的事件日志中收到以下错误:
“RDP 协议组件 X.224 检测到协议流中的错误并已断开客户端连接。”
来源:TermDD 事件 ID:50
我每 24 小时内大约会收到 5 个这样的信息。
该机器是 Web 服务器。它暴露给外界,但只开放 80 端口。
我有点担心这是通过远程桌面尝试入侵机器的结果,但我无法理解在仅打开 80 端口的情况下如何实现这一点。
我担心恶意攻击的另一个原因是,我将网站托管在另一台 2008 R2 机器上,它显示了这些日志事件。然后我更改了路由器中的 IP 转发规则,将外部流量发送到新机器,它开始显示日志事件。
远程桌面没有问题,它可以正常工作,并且实际上就是我与这些机器交互的方式,没有发生断开连接的情况。
对于可能发生的事情有什么建议吗?
答案1
由于只有端口 80 暴露在网络上,因此这些不太可能是针对 RDP 服务器的实际连接尝试。我会尝试找出您授权的 RDP 连接尝试之间的某种关联。假设您正在连接到允许使用 RDP 的后端 LAN 或 VPN,因此您还应确保没有未经授权的各方试图对服务器计算机进行 RDP 连接尝试。
如果这些建议没有取得任何进展,请使用捕获过滤器嗅探盒子上的流量一天,使其仅记录 RDP 流量,然后查看可以找到什么并将其与事件日志条目关联起来。