» »

Ranjivost RTD v windows 10

Ranjivost RTD v windows 10

Nikonja ::

Slučajno sem šel pogledat event viewer-ju v windows 10 če so kakšni erroji (pač sem imel precej časa) in pod security vidim cel kup "audit failure" pogledam kaj dejansko pod napako piše in na moje presenečenje negdo brute forca admin userja z passwordi (pa ga imam disejblanog), en dan z enega ip-a drug dan z drugega in tam jih po moji oceni par tisoč nabranih v 4 dneh (nova inštalacija windowsov.)
Prvo sm po netu guglal eno uro potem mi, iskreno ne vem zakaj, pade na pamet pogledat kakšne vse servise imam vklopljene kateri zahtevajo dostop do spleta, in tamo vidim lepo RTD (remote desktop) in ga izklopim. Po tem nisem imel tudi enega edinega audit failure v log-u.

A je res tako enostavno dobit moj IP in brut forcat RTD dokler ne prideš notri. Mogoče sm naiven ampak sem pričakoval da se vsaj mal več pomatrajo hakerji kot da na vsakem ipju iščejo če je RTD odprt potem pa vozi miško.
  • spremenilo: Nikonja ()

aerie ::

RDP? Port 3389 imaš odprt? Skripte to delajo. Script kiddie pa kakav sreba ;)

Zgodovina sprememb…

  • spremenila: aerie ()

Nikonja ::

Itak da sem ga imel, drugače nebi imel remote desktop dostopa do računalnika, enako je tudi z port 21 ker ga rabim za ftp.
Pa imam kar nekaj odprtih portov v port forwarding na ruterju ker nekateri programi nočejo odpret porte samostojno na upnp.

Ales ::

Niso kaj posebej dobili tvoj IP, avtomatizirani programi gredo kar po vrsti čez vse. V IPv4 prostoru ni to sploh problem.

Vsakodnevna realnost, samo do sedaj nisi opazil ali pa te niso še poskušali bruteforcat tako, da bi opazil.

Če se na RDP povezuješ preko statičnih IP naslovov, v firewallu omeji dostop do RDP porta na samo te IP naslove. Enako če se povezuješ preko VPN. Kar bi ti priporočal, mimogrede.

Najverjetneje poskušajo podobno tudi na portu 21 in na vsem ostalem, kar maš še odprto. Tudi če slučajno še ne poskušajo v tem trenutku, bodo v naslednjem.

ToniT ::

Če že drugega ne, vsaj spremeni port 3389 na nekaj drugega. Če pogledam log na firewallu, imam na dan nekaj tisoč poskusov povezave preko porta 3389.
Drugače pa, kot je napisal Ales, uporabi VPN.

ToniT ::

Napaka.

Zgodovina sprememb…

  • spremenil: ToniT ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Povezava z oddaljenim namizjem

Oddelek: Pomoč in nasveti
183711 (2517) slitkx
»

Požarni zid, RDP in SSH

Oddelek: Omrežja in internet
152885 (2490) specing
»

multiple vm in rdp porti

Oddelek: Omrežja in internet
5785 (746) Izbeglica
»

Oddaljen dostop do računalnika (remote desktop)

Oddelek: Omrežja in internet
294887 (4171) lmorgh
»

Remote Desktop, nastavitev

Oddelek: Omrežja in internet
337933 (4807) fosil

Več podobnih tem