今天,我的数据库服务器意外重启了。检查后,我发现从 12 月初开始,我就收到了这个事件,即网络威胁保护事件。以下是事件
Object detected.
Object name: 64.76.157.3:51747 (different IP every time).
Object type: N/A.
Severity level: high.
Certainty level: complete signature match.
Detected object type: network attack.
Detected: Bruteforce.Generic.Rdp.d.
Task name: Network Threat Protection.
User name: N/A.
Computer name: DB01.
Process: 192.168.0.11:3389.
PID: 6.
该服务器是 5 台服务器的一部分,这些服务器具有相同的公共 IP,每个 IP 都有不同的端口,所有服务器都收到了事件。所以,我的问题是:攻击者是否必须知道公共 IP 才能发起攻击?我如何知道攻击的来源?另外,我是否需要安装防火墙设备,因为我没有防火墙设备。
活动图片
答案1
如果将 RDP 暴露到互联网上,那么预计会出现此类消息。是时候断开 RDP 与互联网的连接了因为有网络犯罪分子积极利用 RDP 攻击远程组织,攻击者正在寻找暴露的 RDP 服务器,狼已经到你家门口了并且COVID-19 疫情期间,针对互联网暴露的 RDP 服务器的攻击激增。我想你开始明白了RDP 的安全风险。不要暴露 RDP!
通常,数据库服务器也不会直接连接到互联网,除非明确需要直接访问;可能会有单独的应用服务器作为数据库服务器的客户端,并且可以将数据库访问限制在这些服务器上。如果数据库位于同一台服务器上,则可以通过本地环回等方式进行访问。这种访问控制将强化您的基础设施并提高其整体安全性。