我新购买的
Windows 2008虚拟服务器现在在其安全日志中有3.500个条目(三天内),其中大多数是事件ID 4625:“帐户无法登录”.
登录尝试显得相当快 – 每秒大约10-20次尝试.我想这是一次攻击 – 这是正确的吗?
它似乎并不像攻击者(我只是使用这个名字)成功登录并强制破解密码应该不容易,因为它很长很复杂……
但是,我想知道我能系统地做些什么吗?如何更改rdp的端口?硬件防火墙可能会有所帮助吗?
此外,服务器现在只托管一个甚至不公开的网站,所以我没想到这么快就有这种流量.有点含糊:当网站上线时,这会变得更糟吗?
可能.然后,它也可能是一个尝试在密码已更改或过期的凭据下登录的应用程序.
您应该仔细观察事件并建立:
– 发生了什么样的登录?看看它是否是RDP或其他类型的访问
– 正在尝试哪些帐户名称(如果它是您无法识别的随机帐户名称,或通过名称的A-Z运行,那么肯定是攻击)
除此之外,验证您的服务器的RDP是否可以公开访问.如果是这样,你真的需要吗?如果您的虚拟服务器位于您的组织内,请锁定公共防火墙以防止这种情况发生(或要求负责防火墙的管理员执行此操作).如果它在云中,则提供商应提供用于控制网络访问的接口(虚拟防火墙).
如果网络上的服务器没有位于适当的防火墙后面,则会遇到相当严重的安全问题.这些框应仅在操作所需的端口上可用,因此,如果提供SSL,则基本Web服务盒应仅对端口80和443具有出站防火墙规则.
