Por que o serviço de área de trabalho remota está conectado a um IP * aleatório *? [duplicado]

1

Eu notei um comportamento de rede incomum no meu servidor Windows 2008 Server 2008 R2 x64, quando investiguei no Monitor de Recursos, notei que isso estava relacionado a um IP desconhecido conectado a "svchost.exe (termsvcs)" com um PID 3148 Minha conexão com o serviço também foi exibida como uma instância separada.

Uma média de 15-30 kB / s estava sendo enviada para este IP e parece estar em rajadas a cada poucos segundos. Eu segui o PID para o TermService - Remote Desktop Services. Eu reiniciei o serviço e o IP desconhecido pareceu desconectar e um novo logo conectado.

Na guia Usuários do Gerenciador de tarefas, apenas um usuário (eu) está conectado.

Eu deveria estar preocupado? Obrigado :)

É um sistema que tem apenas alguns dias e não tem muita coisa instalado:

Atualizações completas do Windows

Agent Ransack (ferramenta de pesquisa da mythicsoft)

TortoiseSVN

VisualSVN

Winrar

MSSQL

    
por Andy 28.12.2012 / 11:52

1 resposta

6

Eu estou supondo que o RDP está aberto para o mundo para o seu servidor (como provavelmente é a única maneira de entrar), e que você está sendo atacado por bots que examinaram seu caminho para o seu IP.

Você está dizendo que não há outros usuários além do seu log on-line ... a única coisa que faz sentido é que existem bots tentando forçar sua entrada com nomes de usuários conhecidos (administrador, Bob, Jane, John e assim por diante ..) e senhas aleatórias. Verifique o log de eventos de segurança e você verá uma enxurrada de logons negados.

A única maneira sensata de parar isso é configurar um firewall no servidor que não permita o RDP de nenhum cliente no mundo. Crie uma lista de endereços IP ou pelo menos os intervalos IP que você sabe que estará usando ao se conectar ao servidor para gerenciá-lo.

Verifique se você não está usando um nome de usuário simples / conhecido. Isso é especialmente importante para a conta "Administrador" local. Desativar e nunca usá-lo.

    
por 28.12.2012 / 12:58