Мой недавно приобретенный виртуальный сервер Windows 2008 теперь имеет 3.500 записей (за три дня) в журнале безопасности, большинство из которых имеют идентификатор события 4625: «Не удалось войти в учетную запись».
Попытки входа в систему происходят довольно быстро - порядка 10-20 попыток в секунду. Думаю, это атака - правильно?
Не похоже, что злоумышленник (я просто использую это имя) успешно вошел в систему, и подобрать пароль не так просто, поскольку он длинный и сложный ...
Однако мне интересно, могу ли я что-то делать систематически? Как насчет смены порта rdp? Аппаратный брандмауэр, наверное, поможет?
Более того, на сервере сейчас размещается только один веб-сайт, который еще даже не является общедоступным, поэтому я не ожидал появления такого рода трафика в ближайшее время. Немного расплывчато: станет ли намного хуже, когда сайт выйдет в онлайн?
Может быть. С другой стороны, это также может быть приложение, пытающееся войти в систему с учетными данными, пароль которых был изменен или срок его действия истек.
Вам следует внимательно присмотреться к событиям и установить: - Что за вход в систему происходит? Посмотрите, является ли это RDP или какой-то другой вид доступа - какие имена учетных записей предпринимаются (если это случайные имена учетных записей, которые вы не узнаете или проходящие через A-Z имен, то определенно атака)
В остальном убедитесь, что RDP к вашему серверу доступен для всех. Если да, то действительно ли это нужно? Если ваш виртуальный сервер находится внутри вашей организации, заблокируйте общедоступный брандмауэр, чтобы предотвратить это (или попросите администратора, отвечающего за брандмауэр, сделать это). Если он находится в облаке, провайдер должен предоставить интерфейсы для управления доступом к сети (виртуальные межсетевые экраны).
У вас есть довольно серьезная проблема безопасности, если у вас есть серверы в сети, которые не находятся за надлежащим брандмауэром. Ящики должны быть доступны исключительно только на тех портах, которые необходимы для работы, поэтому базовый сервер веб-обслуживания должен иметь правила брандмауэра только для исходящих портов 80 и 443, если используется SSL.
К безопасности никогда не следует подходить с другой стороны (сначала все разрешающие, затем заблокируйте только определенные элементы). Точно так же переход на нестандартный порт дает лишь очень незначительное повышение безопасности.
Скорее всего, ваш IP-адрес был просканирован, и был обнаружен RDP, и кто-то решил попробовать его грубой силой. После того, как ваш сайт выйдет в Интернет, количество попыток может вырасти, хотя невозможно предсказать будущее.
Вы должны иметь возможность изменить порт RDP с HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp под PortNumber ключ.
Будьте осторожны, чтобы не заблокировать себя при установке брандмауэра. Насколько я знаю, вы можете настроить максимальное количество попыток входа в систему, настроив политику блокировки учетной записи.
У меня та же проблема с моим VPS - наряду с RDP они также пытаются удаленно взломать SQL Server. Как следствие, в течение нескольких месяцев они постепенно заполняли мое дисковое пространство постоянно расширяющимися журналами!
Мое решение заключалось в том, чтобы ограничить круг лиц, которые могут подключаться через IP-адреса - теперь эти запросы сталкиваются с первым препятствием.
Как уже упоминалось, вы также можете изменить порты для каждой службы - возможно, стоит сделать это вместе с IP-адресами - вы не можете быть слишком безопасными!
Я бы также поддержал одобрение Крисом Принцип наименьших привилегий... Заблокируйте все и постепенно открывайте вещи - но как можно меньше.