Servidor Virtual: RDP sob ataque?

4

Meu recém-adquirido servidor virtual do Windows 2008 agora tem 3.500 entradas (em três dias) em seu log de segurança, a maioria das quais é do evento ID 4625: "Uma conta falhou ao efetuar logon".

As tentativas de login parecem bastante rápidas - cerca de 10 a 20 tentativas por segundo. Eu acho que isso é um ataque - está correto?

Não parece que o invasor (eu usarei este nome) foi bem-sucedido ao fazer login e forçar a senha não deve ser fácil, já que é longo e complicado ...

No entanto, gostaria de saber se há algo que eu possa fazer sistematicamente? Que tal mudar a porta do rdp? Um firewall de hardware provavelmente ajudará?

Além disso, o servidor agora hospeda apenas um site que ainda não é público, então não esperava nenhum tráfego desse tipo tão cedo. Um pouco vago: isso ficará muito pior quando o site ficar online?

    
por mnemosyn 25.02.2010 / 10:44

3 respostas

3

Poderia ser. Então, novamente, também poderia ser um aplicativo tentando fazer logon sob credenciais onde a senha foi alterada ou expirou.

Você deve olhar mais de perto os eventos e estabelecer:  - Que tipo de logon está ocorrendo? Veja se é RDP, ou algum outro tipo de acesso  - Quais nomes de conta estão sendo tentados? (Se é um nome de conta aleatório que você não reconhece, ou está executando um A-Z de nomes, então definitivamente um ataque)

Fora isso, verifique se o RDP do seu servidor está acessível publicamente. Se sim, você realmente precisa disso? Se o seu servidor virtual estiver em sua organização, bloqueie seu firewall público para evitar isso (ou peça ao administrador responsável pelo firewall para fazer isso). Se estiver na nuvem, o provedor deve fornecer interfaces para controlar o acesso à rede (firewalls virtuais).

Você tem um grande problema de segurança se tiver servidores disponíveis na rede que não estejam atrás de um firewall adequado. As caixas devem estar disponíveis exclusivamente somente nas portas necessárias para a operação, portanto, uma caixa de serviço da Web básica deve ter somente as regras de firewall de saída para as portas 80 e 443 se o SSL for veiculado.

A segurança nunca deve ser abordada a partir da outra direção (inicie tudo permissivo e bloqueie somente itens específicos). Da mesma forma, a mudança para uma porta não padrão fornece apenas um aumento muito pequeno na segurança.

    
por 25.02.2010 / 10:56
2

As chances são de que o seu IP foi escaneado e o RDP foi detectado e alguém decidiu tentar e forçar a força bruta. Uma vez que seu site fica on-line, a quantidade de tentativas pode aumentar, embora não haja maneira de dizer o futuro.

Você deve conseguir alterar a porta RDP de HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp na chave PortNumber .

Tenha cuidado para não se trancar ao instalar um firewall. Pelo que sei, você pode configurar um número máximo de tentativas de login configurando a Política de bloqueio de conta.

    
por 25.02.2010 / 10:54
0

Eu tenho o mesmo problema com o meu VPS - ao lado do RDP, eles também estão tentando invadir o SQL Server remotamente. Como consequência, durante um período de alguns meses, eles gradualmente encheram meu espaço em disco com registros sempre em expansão!

Minha solução foi restringir quem pode se conectar em endereços IP - essas solicitações agora caem no primeiro obstáculo.

Como já foi mencionado, você também pode alterar as portas para cada serviço - pode valer a pena fazer isso em conjunto com endereços IP - você não pode ser muito seguro!

Eu também recomendo o endosso de Chris ao Princípio do Menor Privilégio ... Bloqueie tudo e abra gradualmente as coisas - mas o mínimo possível.

    
por 25.02.2010 / 12:12