令我惊讶的是,安全事件 10 针对的是 104.43.193.6,这显然是一个 Microsoft 的 IP 地址: http://ip2location.com/demo/104.43.193.6=. 微软公司。
据我所知,可能有人租用了 104.43.193.6 并使用它来随机攻击 IP 地址,希望通过 RDP 登录...
因为我的网络服务器是一个相对不为人所知的专用 Windows 网络服务器(它不是索尼的,我们也不是托管愚蠢电影的预告片),所以它不太可能受到攻击,除非通过随机翻阅 IP 地址范围。
此类频繁攻击甚至是同时发生的攻击都是很正常的,例如今天微软拥有的 IP 地址、另一个来自中国的 IP 地址和第三个来自堪萨斯城的 IP 地址同时尝试通过 RDP 登录。
让我感到困扰的是,人们希望微软能够表现出足够的关心,愿意关闭参与黑客攻击的某个客户;公平地说,这也可能是某个入侵了微软客户计算机的人。
更多信息
微软加拿大 +1 905 568-0434 交换机将我转接给了菲律宾的某个人,但部门不对,他又将我转接给了恶意软件(错误的部门),但他无法理解这个问题,20 分钟后,终于将我转接给了专业服务部门的某个人,但他也一无所知,又过了 15 分钟,电话录音说微软的所有电话线路都忙;录音建议使用互联网联系微软。
在尝试向 Microsoft 报告 RDP 攻击的过程中,攻击 IP 地址停止尝试...在我这边,通过 WireShark,捕获了日志。
人们希望微软也许愿意看到这些日志...人们还希望有更好的方法在发生此类攻击时通知微软。
当 RDP 攻击实时发生时,如何向微软报告?
附言:如果这个问题的论坛不对,请重定向我。谢谢。
2015-12-26 更新 (来自微软自动回复):
Thank you for contacting [email protected].
This alias is monitored by the Microsoft
Online Services Security Incident Response Team
and is used to collect security and abuse reports
from security organizations specific to our Online Services
such as Windows Azure, Bing, Hotmail, Windows Live, etc.
This alias is not currently monitored 24/7;
expect a response in 1-2 business days.
答案1
如果你检查该 IP 的 whois 记录,它会告诉你:
评论:要报告特定于来自 Microsoft 在线服务的流量的可疑安全问题,包括通过 Microsoft 在线服务分发恶意内容或其他非法或违法材料,请将报告提交至:
评论:*https://cert.microsoft.com。
更新 ~~ 来自直接发给我自己 {gerry} 的 ms 电子邮件:
(a)“电子邮件地址的最大长度已更改为 100”,ms 已将大多数电子邮件地址改为可接受
(b)“可以随时发送 IP 详细信息、日志和任何有用信息给[电子邮件保护]“
(c)ms”如果您能向我们提供足够的信息进行调查,我们将始终通过此地址接收报告。我们非常重视时间戳,时间戳越准确,我们就能越快地找出责任人”