Атака brute force на terminal services
Feb. 21st, 2011 05:29 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
leo_sosnineТаки нужно менять стандартные порты всех (по возможности) открытых в интернет сервисов. Сегодня был свидетелем брутфорса на RDP онлайн.
Порядка 5-6 подключений в секунду с одного айпишника. В логах пишется тем временем такое:
Атака какая-то бараническая, кроме sys'а больше ничего не пробовалось. Я всю жизнь админствую, но такого %username% отродясь не видал. Уж куда как перспективнее отака на "администратор"а. Это, кстати, аргумент в пользу отключения/переименования учётки админа. Я обычно переименовываю в ruler. Ну или как-то так.
Всего было сделано порядка 18 000 попыток. Маловато будет! :)
Порядка 5-6 подключений в секунду с одного айпишника. В логах пишется тем временем такое:
Тип события: Аудит отказов
Источник события: Security
Категория события: Вход/выход
Код события: 529
Дата: 21.02.2011
Время: 16:20:10
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SRV
Описание:
Сбой входа в систему:
Причина: неизвестное имя пользователя или неверный пароль
Пользователь: sys
Домен: KAROLINA.LOC
Тип входа: 10
Процесс входа: User32
Пакет проверки: Negotiate
Рабочая станция: SRV
Имя вызывающего пользователя: SRV$
Домен вызывающего: KAROLINA.LOC
Код входа вызывающего: (0x0,0x3E7)
Код процесса вызывающего: 12456
Промежуточные службы: -
Адрес сети источника: 195.211.101.178
Порт источника: 3799
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Атака какая-то бараническая, кроме sys'а больше ничего не пробовалось. Я всю жизнь админствую, но такого %username% отродясь не видал. Уж куда как перспективнее отака на "администратор"а. Это, кстати, аргумент в пользу отключения/переименования учётки админа. Я обычно переименовываю в ruler. Ну или как-то так.
Всего было сделано порядка 18 000 попыток. Маловато будет! :)
