Logins bem-sucedidos do RDP desconhecidos e estranhos no EventViewer

Navegue suas respostas
4

Eu tenho um Windows Server 2008 R2 com um IP válido e, recentemente, encontrei centenas de logons de sucesso RDP desconhecidos e estranhos registrados no EventViewer. Aqui estão alguns detalhes:

  1. Eles não são semelhantes aos logins normais, eles acontecem como em qualquer segundo, mesmo quando eu mesmo estou logado no servidor.
  2. O evento diz "Serviços de Área de Trabalho Remota: Autenticação do usuário bem-sucedida" em "Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational", ID do Evento 1149
  3. Eles parecem usar algumas contas de usuário aleatórias sem um nome de domínio. Tenho certeza de que não tenho essas contas de usuários locais e o servidor não pertence a nenhum domínio. Os logins legítimos do RDP têm uma conta de usuário e um nome de grupo de trabalho válidos, mas esses logins usam nomes de usuário desconhecidos sem nenhum grupo de trabalho.

A equipe de suporte não pôde me ajudar e estou muito curioso para saber quais são esses logins estranhos. Eles são algum tipo de ataque de força bruta? então por que ele lê "bem sucedido"? Estou sendo hackeado? Por que eles continuam acontecendo continuamente?

EDIT: Eu gostaria de salientar novamente que essas contas não existem no servidor. Eu me pergunto por que deveria haver um login RDP bem-sucedido a partir de uma conta de usuário que não existe. (por exemplo, não tem pasta de perfil de usuário)

    
por Yousef Salimpour 17.11.2011 / 09:03

4 respostas

4

Só porque não existe diretório de usuários, isso não significa que os usuários não existam. Verifique o usuário local e as contas de serviço no MMC para confirmar se elas realmente não existem.

Esses sintomas geralmente são um sinal de um worm RDP passando por uma rede. Também valide que qualquer utilitário antimalware que você esteja executando está atualizado e execute uma varredura completa nessa máquina. Se houver um worm RDP e houver logins bem-sucedidos, é provável que você já esteja infectado.

    
por 17.11.2011 / 15:49
2

Eu tive um problema exatamente semelhante e para reproduzir os resultados tudo o que eu tinha que fazer era conectar a uma máquina remota usando um cliente rdp que não tivesse autenticação de nível de rede (ubuntu rdp client) e digitando um nome de usuário imaginário. Foi-me apresentada uma tela de login e o evento foi registrado no visualizador de eventos como autenticação bem-sucedida da área de trabalho remota. No entanto, não foi possível fazer login usando a conta imaginária. Se for possível, sugiro que você ative a autenticação no nível de rede para a Área de Trabalho Remota.

    
por 23.07.2013 / 02:39
0

O endereço de rede de origem deve dar uma idéia de onde essas conexões vêm. Talvez você possa, então, solucionar o problema com mais facilidade. Certifique-se de ter segurança ativada para sessões RDP. E sim, pode ser que você tenha sido hackeado.

    
por 17.11.2011 / 09:17
-1

Ah, a mesma coisa aqui. Eu resolvi desabilitando o acesso público ao RDP, permitindo apenas conexões de rede privada para o servidor. Que é, a propósito, recomendado assim que você tenha acesso ao seu novo servidor.

    
por 15.04.2015 / 18:17

Tags

linux - máquinas HP BLADE - identifique o nome do servidor no meu sistema operacional Linux rpm -ivh, falha na dependência já instalada