Назад | Перейти на главную страницу

Почему служба удаленного рабочего стола подключена к * случайному * IP-адресу?

Возможный дубликат:
Как мне поступить с взломанным сервером?

Я заметил необычное сетевое поведение на своем сервере Windows web server 2008 R2 x64, когда я исследовал Resource Monitor, я заметил, что это было связано с неизвестным IP-адресом, который был подключен к svchost.exe (termsvcs) с PID 3148. Мое соединение к сервису тоже показывался отдельным экземпляром.

На этот IP-адрес отправлялось в среднем 15–30 КБ / сек, и, похоже, каждые несколько секунд он был послан. Я следил за PID до TermService - Remote Desktop Services. Я перезапустил службу, и неизвестный IP-адрес, казалось, отключился и вскоре подключился новый.

На вкладке пользователей Диспетчера задач подключен только один пользователь (я).

Я должен быть обеспокоен? Спасибо :)

Это система, которой всего несколько дней, и на ней совсем не установлено:

Полные обновления Windows

Агент Рэнсак (поисковая программа от компании Mificsoft)

TortoiseSVN

VisualSVN

Winrar

MSSQL

Я предполагаю, что RDP открыт для всего мира для вашего сервера (поскольку это, вероятно, единственный способ попасть внутрь), и что вы подвергаетесь атаке со стороны ботов, которые просканировали свой путь к вашему IP.

Вы говорите, что нет других пользователей, кроме вас, вошедшего в систему ... единственное, что имеет смысл, это то, что есть боты, пытающиеся подобрать себе путь с известными именами пользователей (администратор, Боб, Джейн, Джон и т. Д. ..) и случайные пароли. Проверьте журнал событий безопасности, и вы должны увидеть поток запрещенных входов в систему.

Единственный разумный способ остановить это - установить на сервере брандмауэр, который не разрешает RDP от любого клиента в мире. Составьте список IP-адресов или хотя бы диапазонов IP-адресов, которые, как вы знаете, вы будете использовать при подключении к серверу для управления им.

Убедитесь, что вы не используете простое / известное имя пользователя. Это особенно важно для локальной учетной записи «Администратор». Отключите его и никогда не используйте.