Назад | Перейти на главную страницу

Неизвестные и странные успешные входы в систему RDP в средстве просмотра событий

У меня Windows Server 2008 R2 с действующим IP-адресом, и недавно я обнаружил сотни неизвестных и странных успешных входов в систему RDP, зарегистрированных в EventViewer. Вот некоторые подробности:

  1. Они не похожи на обычные входы в систему, они происходят ежесекундно, даже когда я сам вошел на сервер.
  2. Событие читается как «Службы удаленных рабочих столов: аутентификация пользователя прошла успешно» в «Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational», идентификатор события 1149
  3. Кажется, они используют какие-то случайные учетные записи пользователей без доменного имени. Я почти уверен, что у меня нет этих локальных учетных записей пользователей, и сервер не принадлежит ни к какому домену. У законных учетных записей RDP есть действительная учетная запись пользователя и имя рабочей группы, но эти логины используют неизвестные имена пользователей без какой-либо рабочей группы.

Сотрудники службы поддержки не смогли мне помочь, и мне очень любопытно, что это за странные логины. Это какая-то атака грубой силой? так почему написано «Успешно»? Меня взламывают? Почему они продолжаются постоянно?

РЕДАКТИРОВАТЬ: Я хотел бы еще раз указать, что эти учетные записи НЕ СУЩЕСТВУЮТ на сервере. Интересно, почему должен быть успешный вход RDP из учетной записи пользователя, которой не существует. (например, не имеет папки профиля пользователя)

Тот факт, что каталог пользователей не существует, не означает, что пользователи не существуют. Проверьте учетные записи локальных пользователей и служб в MMC, чтобы убедиться, что они действительно не существуют.

Эти симптомы обычно являются признаком распространения червя RDP по сети. Также убедитесь, что все используемые вами антивирусные утилиты обновлены, и выполните полное сканирование на этом компьютере. Если существует червь RDP и был успешный вход в систему, скорее всего, вы уже заражены.

У меня была точно такая же проблема, и для воспроизведения результатов все, что мне нужно было сделать, это подключиться к удаленному компьютеру с помощью клиента rdp, у которого нет аутентификации на уровне сети (клиент rdp ubuntu), и ввести воображаемое имя пользователя. Мне был представлен экран входа в систему, и событие было зарегистрировано в средстве просмотра событий как успешная аутентификация удаленного рабочего стола. Однако не удалось войти в систему с использованием воображаемой учетной записи. Если возможно, я предлагаю вам включить аутентификацию на сетевом уровне для удаленного рабочего стола.

Сетевой адрес источника должен дать вам представление об источниках этих подключений. Может быть, тогда вам будет проще устранить проблему. Убедитесь, что у вас включена безопасность для сеансов RDP. И да, возможно, вас взломали.

Ах, здесь то же самое. Я решил, отключив публичный доступ к RDP, разрешив только частные сетевые подключения к серверу. Что, кстати, рекомендуется, как только вы получите доступ к своему новому серверу.