Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   [решено] Пытаются взломать сервер, как поступить? (http://forum.oszone.net/showthread.php?t=258732)

Sermion 16-04-2013 11:37 2133581
Пытаются взломать сервер, как поступить?
 
Вложений: 1
Сервер 2008R2 с RDP
Некоторое время назад директор перестал подключаться к серверу через remoteAPP, rdp
Посмотрел логи аудита (прикреплены к теме): там явно видно перебор на взлом.
Проверил IP, большая часть Китай и Малайзия, но попался и российский ip, бауманский университет )))
  1. Как поступить?
  2. Не совсем понятно почему отвалился доступ у директора. Возможно из-за перебора где-то логин его блокируется. логин DIR. Куда копать?
  3. Другие сотрудники логиняться нормально. Учётка директора с других ПК коннектиться (не входил, пароля не помню)
  4. Ноут директора на хрюше, заведён в другой домен вообще. У нас DC нет, просто рабочая группа.


ipconfig /all


Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : tosh-yurk
Основной DNS-суффикс . . . . . . : agro.net
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : agro.net
URK

Local Area Connection - Ethernet адаптер:

Состояние сети . . . . . . . . . : сеть отключена
Описание . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Eth
ernet NIC
Физический адрес. . . . . . . . . : 00-1B-24-A6-40-7B

Wireless Network Connection - Ethernet адаптер:

DNS-суффикс этого подключения . . : URK
Описание . . . . . . . . . . . . : Intel(R) Wireless WiFi Link 4965AGN
Физический адрес. . . . . . . . . : 00-13-E8-B8-8E-19
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.13.14
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.13.1
DHCP-сервер . . . . . . . . . . . : 192.168.13.2
DNS-серверы . . . . . . . . . . . : 93.178.96.12
93.178.96.10
Аренда получена . . . . . . . . . : 16 апреля 2013 г. 9:44:07
Аренда истекает . . . . . . . . . : 19 января 2038 г. 7:14:07

cameron 16-04-2013 12:16 2133607
Цитата:
Цитата Sermion
Не совсем понятно почему отвалился доступ у директора. Возможно из-за перебора где-то логин его блокируется. логин DIR. Куда копать? »
в более сложный логин.
Цитата:
Цитата Sermion
Учётка директора с других ПК коннектиться (не входил, пароля не помню) »
не поняла.
Цитата:
Цитата Sermion
Ноут директора на хрюше, заведён в другой домен вообще. У нас DC нет, просто рабочая группа. »
это ни на что не влияет.
Цитата:
Цитата Sermion
Как поступить? »
VPN?
или доступ к 3389 с определённых адресов.

ShaddyR 16-04-2013 14:39 2133720
Цитата:
Цитата Sermion
там явно видно перебор на взлом »
если порт выведен во внешку - сменить порт,
Цитата:
Цитата cameron
VPN?
или доступ к 3389 с определённых адресов. »
. Не думаю, что имеет место быть целенаправленный взлом, скорее - ddos'ят. Для твоей ОС при соблюдении мер безопасности - бесполезная трата времени.

cameron 16-04-2013 15:00 2133742
Цитата:
Цитата ShaddyR
скорее - ddos'ят »
на 3389? О_о
это брутфорс в числом виде, какой ддос на порты RDP? :yes:

Sermion 16-04-2013 23:03 2134091
во вложении файл событий журнала безопасности сервера. там разные порты, не только 3389.
Пришёл к выводу что учётка всё же не причём, но надо попробывать залогиниться под другой с ноута директора.
Про безопасность "бесполезная трата времени" согласен, самое интересное что на маршрутизаторе проброшены порты только для rdp

ShaddyR 17-04-2013 03:37 2134173
Цитата:
Цитата cameron
на 3389? О_о »
->
Цитата:
В версиях RDP до 6.0 при подключении по RDP клиенту до аутентификации надо показать окно входа – т.е. вначале показать, а потом уже он попробует зайти в систему. Это создаёт простую уязвимость – сервер можно перегрузить пачкой запросов “а дай-ка мне попробовать новую сессию начать”, и он будет вынужден на все запросы отвечать созданием сессии и ожиданием входа пользователя. Фактически, это возможность DoS.
это так, вкратце)

WindowsNT 18-04-2013 09:18 2134904
1. Смена порта против китайцев не поможет, доказано на опыте.
2. Если я правильно смог перевести текст вопроса, директор работает на Windows XP, небезопасной Home. Думаю, на сервере не включён механизм Network Level Authentication. Это следует сделать незамедлительно, иначе взлом через прослушивание трафика — секундное дело. На XP RDP NLA включается через реестр.

Cruzenshtern 18-04-2013 09:41 2134918
WindowsNT, Не в тему но думаю стоит спросить.
А вот для Andoroid есть прога RDP которая бы поддерживала NLA? А то у меня сейчас стоит 2X Client но он этого не поддерживает а очень хотелось бы.

WindowsNT 18-04-2013 19:26 2135314
Dear Cruzenshtern,
Андроиды выходят за рамки моей компетенции.

Sermion 18-04-2013 21:33 2135416


как победить, не пойму
Естественно, такого пользователя нет....
Network Level Authentication включил, посмотрим...

С ноута директора RDP к другим внешним серверам подключается, к своему в локалке нет. RDP обновил с мелкомягкого до 7-й версии (последняя для хрюши).
ХЗ куда копать.

Cruzenshtern 19-04-2013 08:58 2135608
Sermion, рубани ип на роутере.

ShaddyR 19-04-2013 10:27 2135638
Цитата:
Цитата Cruzenshtern
рубани ип на роутере. »
на кой? Только полный кретин будет брутфорсить со своего IP.

Sermion 24-04-2013 20:13 2139043
Ошибка на клиенте


Клиент


Сервер


Роут



Нарыл support.microsoft.com/kb/329896
Есть вероятность того, что это причина и решение?

Ах, да ещё ВОТ человек сталкнулся с аналогичной проблемой, но решение только на сервере и про РДП ни слова


Время: 23:50.

Время: 23:50.
© OSzone.net 2001-