windows server 2008

[M@2]

καλησπερα σας,

 

εχω σε ένα server τα winodows server 2008 R2 standard,

εδώ και κάποιες μέρες βλέπω μέσα στο event viewer -security  πως κάποιοι προσπαθουν να μπουν μέσα στον server μέσω remote desktop αλλά δεν μπορούν λόγω ότι γραφουν λάθος τον password.

 

παραθέτω απο κάτω και ένα παράδειγμα αυτής της επίθεσης

An account failed to log on.

Subject:
    Security ID:        SYSTEM
    Account Name:        myserver$
    Account Domain:        mydomain
    Logon ID:        0x3e7

Logon Type:            10

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:        micros01
    Account Domain:        myserver

Failure Information:
    Failure Reason:        Unknown user name or bad password.
    Status:            0xc000006d
    Sub Status:        0xc0000064

Process Information:
    Caller Process ID:    0x290c
    Caller Process Name:    C:\Windows\System32\winlogon.exe

Network Information:
    Workstation Name:    myserver
    Source Network Address:    93.49.30.12
    Source Port:        59953

Detailed Authentication Information:
    Logon Process:        User32
    Authentication Package:    Negotiate
    Transited Services:    -
    Package Name (NTLM only):    -
    Key Length:        0

 

Μπορώ να βρώ τέτοια events 30-40 την ημερα,

το θέμα είναι πως βρήκαν και επέλεξαν την static ip μας και την πορτα και άρχησαν τις επιθέσεις;

και όλα αυτα είανι πραγματι φυσικές επιθέσεις,  ή είναι μέσω κάποιου προγράμματος/ιου  το οποίο είναι  εγκατεστημενο στον υπολογιστή;

ετρεξα το malware byte δεν βρηκε κάτι.

υπάρχει καποιο άλλο free antivirus\antimalware  ή έστω trial που θα μπορω να σκανναρω τον υπολογιστή.

 

Επισης μετα απο κάποιες επιθεσεις μου βγάζει το παρακατω στο event viewer

σημαινει πως εχουν μπει στον server, ανοιξε κάποιο service το οπίο δεν θα επρεπε και εχει κάποια σχέση με όλα αυτα;

 

An account was successfully logged on.

Subject:
    Security ID:        SYSTEM
    Account Name:       myserver$
    Account Domain:       mydomain
    Logon ID:        0x3e7

Logon Type:            5

New Logon:
    Security ID:        SYSTEM
    Account Name:        SYSTEM
    Account Domain:        NT AUTHORITY
    Logon ID:        0x3e7
    Logon GUID:        {00000000-0000-0000-0000-000000000000}

Process Information:
    Process ID:        0x1b8
    Process Name:        C:\Windows\System32\services.exe

Network Information:
    Workstation Name:    
    Source Network Address:    -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:        Advapi  
    Authentication Package:    Negotiate
    Transited Services:    -
    Package Name (NTLM only):    -
    Key Length:        0
 

Ευχαριστώ εκ των προταιρων

[ilove3dmax]

ε μα και εσυ κανε redirect την πορτα 3478 στο router σου σε καποια αλλη 

η στησε ενα vpn παρε ενα ciso pix 501 τα πουλανε τσαμπα στην ξεφτηλα κανα 50αρικο μαξ και βαλτο πριν απο το σερβερ σου

αν θες εχω ενα να σου δοσω

[rfc]

Και αν δε το χρειαζεσαι κλεισε το RD για λιγο καιρο μεχρι να δεις τι γινεται. Αν μπορεις βεβαια. Το να αλλαξεις τη πορτα βεβαια ειναι και οτι καλυτερο.  Βαλε και κανα πιο δυσκολο pass.

[Επισκέπτης]

Το καλύτερο είναι να βάλεις RD Gateway και να έχεις Network Level Auth ανοιχτό.

 

Οπότε έχεις pre Auth και port 443 προς τα μέσα με Certificate.

[polaki]

Το να βρουν την ΙΡ ειναι σχετικά εύκολο, αν και το πιθανότερο είναι να είναι κάποιος άσχετος και όχι κάποιος ανταγωνιστής (που το παλιοοοοοοοο μου αφεντικό επέμενε πως είναι στις αντίστοιχες περιπτώσεις..)

 

Εμείς αυτό που είχαμε κάνει τότε, ήταν να στήσουμε ένα VPN με Cisco και να χρειάζεται πρώτα HTTP authentication στο Cisco πριν σε δεχτεί το RD... Δεν ξέρω πώς, γιατί είχαν φέρει την εταιρία που μας υποστήριζε στα Cisco, αλλά από τότε τελείωσαν όλα.

[Επισκέπτης]

To VPN πλέον είναι περιττό , το RD γενικά έχει περάσει σε άλλο επίπεδο, πλέον στην εποχή του BYOD δίνεις πρόσβαση σε εταιρικές υπηρεσίες κρυπτογραφημένα. Το VPN είναι τροχοπέδη.

 

Υπάρχει Client για Android και iOS κανονικά από την MS , και μπορείς να έχεις μέχρι και τα αρχεία σου σε στυλ Skydrive.