Назад | Перейти на главную страницу

RDP-сервер атакован; Используемый IP-адрес - это адрес нашего сервера

Я установил сервер Windows 2016 для доступа к удаленному рабочему столу и установил RDPGuard, чтобы блокировать атаки методом грубой силы. Это работало хорошо в течение нескольких дней, и RDPGuard заблокировал ряд IP-адресов.

Однако несколько дней назад я заметил, что RDPGuard пропускает несколько попыток входа в систему, поскольку исходным адресом был IP-адрес сервера. Теперь это выросло до того места, где я вижу пару попыток входа в систему в секунду, где адрес источника - это IP-адрес сервера, используемые имена входа взяты из словаря имен, например, JOHN, CARMEN, LISA и т. Д. Иногда все еще есть попытки с других IP-адресов, но большинство используют локальный IP-адрес. Средство просмотра событий показывает ту же информацию, что и RDPGuard, то есть локальный IP-адрес в качестве исходного адреса, поэтому это не похоже на ошибку RDPGuard.

Кто-нибудь знает, как злоумышленник подделывает IP-адрес нашего сервера и как это предотвратить?

Проблема решена - мы также используем продукт Ericom AccessNow, и мы обнаружили, что неудачные попытки входа в систему отсюда приводят к тому, что IP-адрес сервера является источником, поскольку исходный IP-адрес недоступен. Этого не происходило на нашем предыдущем сервере с AccessNow, поэтому, возможно, виновато изменение конфигурации.