#0
by kloptula
Всем привет. Сегодня в логах увидел, что некто брутфорсит сервер. На серере наружу открыт rdp (порт 3389). Соответственно кто-то пытается подобрать пароль админа. У меня есть ip засранца и сервис whois говорит, что злодей этот - Таском. Поделитесь опытом, как грамотнее выйти из этой ситуации, пожаловаться может куда?
#0
by kloptula
Всем привет. Сегодня в логах увидел, что некто брутфорсит сервер. На серере наружу открыт rdp (порт 3389). Соответственно кто-то пытается подобрать пароль админа. У меня есть ip засранца и сервис whois говорит, что злодей этот - Таском. Поделитесь опытом, как грамотнее выйти из этой ситуации, пожаловаться может куда?
#1
by Сержант 1С
скриншот, выходишь на второй уровень техподдержки, раздуваешь ситуацию до "сломали сервер, увели деньги", прикладываешь доказательства
#10
by Armando
Не, наоборот включи учетку с минимальными правами и легкий пароль сделай. Наблюдай за ситуацией.
#13
by Мизантроп
Я держу, например. 600 подключений круглосуточно. И многие держат. А в чем проблема?
#14
by Сержант 1С
какая разница? сканер рдп все равно найдет, тут уж или за впн прятать, или просто защиту строить нормальную
#16
by Мизантроп
> уж или за впн прятать это не очень хорошо. Всем клиентам впн не настроишь, особенно мобильным. И дыр в реализации впнов немало. Надо просто сидеть на рдп и правильный маршрутизатор иметь, чтоб атакующих сам банил.
#17
by Сержант 1С
при любом намеке на финансовые потери по вине контрагента такие конторы начинают землю рыть. Такой ситуации не было, были другие. Один звонок "из-за простоя мы терпим убытки,прямо сейчас" - все на уши встают.
#19
by Мизантроп
от задач все зависит и от любви к бренду. Я стареньким циско 2951 обхожусь и еще новый юнипер есть, но пока до конца не буду понимать его, не пойдет в работу. На резерв стоят два системника с FreeBSD 6.2 настроенные под нужды, включая BGP.
#20
by Сержант 1С
свеженькое из журнала: "Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 176.99.236.1."
#25
by Мизантроп
а если у тебя будет 200-400-600 клиентов, если они будут на куче всяких платформ, включая планшеты, если они в разных странах и т.д. Всем будешь объяснять что из-за своей неспособности обеспечить безопасность серверов ты создаешь гемор любимым пользователям?
#28
by Мизантроп
т.е. ты считаешь нормальным переложить собственную несостоятельность на 500 клиентов, заставив их править адрес подключения? А когда тебя начнут брутфорсить на новом адресе, ты заставишь клиентов ставить тоннель на компьютеры? Другого решения проблемы ты не видишь?
#29
by Джордж1
У меня слава богу не 500 клиентов. И таких проблем нет. Как нет и альтернатив решения проблемы
#31
by Мизантроп
> Как нет и альтернатив решения проблемы А может тебе пора начать искать альтернативы и не создавать проблемы даже своим 50-100 пользователям?
#33
by Вуглускр1991
Ты пристрастен. Думаешь твоим 600 пользователям удобно помнить мозгодробильные пароли с кучей разных сортов знаков? Порт поменять им не удобно :)
#35
by Мизантроп
ты просто не хочешь развиваться, обучаться и т.д. Админ мелкой конторы это таки тупиковая ветвь развития
#37
by Вуглускр1991
Вот ты развился и обучился то о_О, админ большой конторы :))) чувак который вывозит самую большую машину со шлангом, тоже любит поучать коллег на машине поменьше.
#44
by Aleksey
не понял, а в чём смысл менять порт на роутере если наружу он висит на стандартном порту???
#51
by Aleksey
не понял, я подключаюсь на 20 порт роутер меня перекидыват на 50 порт сервака. КАкая мне разница за каким натом и на каком порту сервак, если роутер всё равно сам меня приведёт к серваку? Другое дело что если бы наружу торчал нестандартный порт, например 12345 т.е. мне уже понадобилось бы время чтобы найти на каком порту у тебя РДП, а так искать ничего не надо вот он на стандартном месте. Так какая разница какой порт на сервере?
#53
by Aleksey
речь идет о конкретном РДП открытый наружу. точка. причём тут роутер и где в сети сервак стоит?
#56
by Мизантроп
> я как поменял порт на нестандартный, так и брутфорс прекратился. значит тебя из внутренней сети сношали
#65
by Aleksey
К клиенту, не всякий клиент (!) рдп может поменять порт. Но мы же сейчас обсуждаем БЕЗОПАСНОСТЬ, т.е. смену порта который наружу торчит, а что у тебя внутри делается никого не волнует, с точки зрения безопасности
#67
by Джордж1
я вообще можно сказать не админю. Сервер был настроен специалистом и установлен на площадку (неизвестную мне). Так с 2009 года и работает. ты еще предложи умного админа нанять на 5 пользователей
#69
by Мизантроп
никакого богатства не надо чтоб на обычном системнике поднять FreeBSD и сделать себе маршрутизатор аналогичный дорогущему брендовому
#70
by Злопчинский
как подключились наружу по белым опишнекам - сразу стучаться начали все кому не лень, пришлось переназначаться...
#73
by Вуглускр1991
А системни за штуку с рук купить? А на баб Ивановских тебя чё потянуло? Выпил таки?
#74
by Aleksey
клиенты не ограничиваются встроенным в windows 7/8 Есть еще MAC OS, всякиен андройды, симбиан. Да даже обычный RDP клиент который был в первых выпусках WinXP не могу просто так порт менять. это уже потом к SP3 его обновили
#75
by Джордж1
успокойся. Какая разница 5 или 50 пользователей. Поменял порт на нестандартный и атаки прекратились. Чего еще надо?
#76
by Мизантроп
купите тогда брендовый маршрутник с мозгами, хотя и к нему нужен умный админ. Да, проще 5 пользователей нагнуть, чем вкладываться и учиться.
#79
by Джордж1
с ipad подключался, с Ubuntu - подключался, c Win XP - тоже. Ни разу не было проблем. // Ну купишь и что дальше? разрешать подключатся только с определенных ip? // не вижу разницы писать Адрес или Адрес:порт. тем более адрес сохраняется. // Сейчас глянул к серверам (не моим) куда я подключаюсь иногда - везде надо указывать порт
#81
by Вуглускр1991
и вот блондинко со своей свистелки подключается на боевой микрософтовский весь лицензионный сервак чтобы зайти в 1С чтобы что? хочет работать - пусть идет в офис и садится за стол.
#82
by Мизантроп
> Ну купишь и что дальше? разрешать подключатся только с определенных ip? умные маршрутизаторы имеют мозги для отражения стандартных атак. Я вообще не замечаю такие атаки, раз в неделю на почту маршрутник присылает заблокированные адреса и куда они ломились упорно. Сигнатуры атак обновляются, свои деньги жерезо отрабатывает
#85
by Мизантроп
> вот блондинко со своей свистелки подключается а если блондинка будет твоим директором, ты будешь быстро вилять хвостом и учиться решать свои проблемы без нагрузки пользователей. Тебя просто еще под хвост никто не пинал.
#87
by Мизантроп
> И сколько стоит такой маршрутизатор? разные суммы, зависит от нагрузки. Думаю, от 30т.р. до бесконечности. А еще можно немного мозг нагрузить и все сделать бесплатно на любом системнике.
#89
by Мизантроп
это до тех пор пока твои директорам не сказали что ты несостоятелен как админ и тебя пора менять на менее борзого и более работящего
#90
by Вуглускр1991
если вилять перед директором, а обычным пользователям на дверь указывать - то можно перестать себя уважать, так незаметно. А если ещё и перед пользователями вилять. Админ терпила или админ холуй - очень неприятный выбор.
#91
by Мизантроп
> Админ терпила или админ холуй - очень неприятный выбор А админ бездарность для тебя наверное приятный выбор.
#92
by Вуглускр1991
Это от того, что твой директор не знает, в каких тяжелых сетевых боях ты спасаешь его офис каждый день и каждую ночь.
#96
by Мизантроп
Открыл для себя новое - оказывается, качественное выполнение своей работы это холуйство, а качественно выполняющий свою работу - терпила. Надо это зафиксировать.
#97
by Aleksey
НА что он тебе будет парировать "мне пофиг как это будет технически реализовано, но мне нужно что бы было так" ты там чтобы проблемы решать или зарплату получать?
#98
by НаборДанных
Старый как старый еврей баян, смени порт RDP, который наружу смотрит и все твои проблемы отвалятся сами собой.
Тэги: Админ
Ответить:
Комментарии доступны только авторизированным пользователям
Похожие вопросы 1С
- Сервер 2003 и компы в сети, Раб. станции видят, но не могут зайти на сервер
- Определение сервера под сервер приложений и сервер SQL
- Ключ защиты установлен на сервере 1, а сервер 1С 8.1 на сервере 2
- Можно на один сервер ставить терминал, сервер предприятия и sql сервер
- Сервер приложений + сервер базы данных
- переносим сервер 1с на другой сервер, можноли оставить ключи на старом сервере?
- Как оптимальнее расселить сервер терминалов, сервер СУБД и сервер 1С на 2 сервера
- 1С8.2: Оптимальное размещение SQL сервера, сервера 1С, терминального сервера
В этой группе 1С
- Остатки сразу по нескольким счетам одним запрос без объединения. Реально?
- управляемое приложение не видит общий модуль
- Hyper-Threading и 1С
- Строку ТаблицыЗначений выгрузить в структуру. можно?
- Книга покупок в 3.0. Дата оплаты счета-фактуры продавца.
- COM-подключение к Postgresql из фонового задания
- Не снимаются с регистарции объекты после успешного обмена
- Загрузка изображения(изображений) по ссылке в справочник Номенклатура
- Отправка электронной почты. SMTP error code 503, 5.5.4 Error: send AUTH command
- СКД, отчет не выводит вычисляемые поля.
- v8: EvalExpr не работает возврат из 1С
- Магический батник
- Обращение к элементам формы программно созданного документа
- PuTTY. Как использовать из 1С?
- Нетривиальный складкой учет в УПП.
- Преобразование значения к типу Булево не может быть выполнено.
- БП 2.0 Модернизация ОС. Выбор события
- Как получить представление (синоним) на другом языке?
- v7: Установить значение реквизита справочника неопределенного типа
- Как определить глобальную переменную на клиенте и сервере?