Брутфорсят сервер #661155

Всем привет. Сегодня в логах увидел, что некто брутфорсит сервер. На серере наружу открыт rdp (порт 3389). Соответственно кто-то пытается подобрать пароль админа. У меня есть ip засранца и сервис whois говорит, что злодей этот - Таском. Поделитесь опытом, как грамотнее выйти из этой ситуации, пожаловаться может куда?

Всем привет. Сегодня в логах увидел, что некто брутфорсит сервер. На серере наружу открыт rdp (порт 3389). Соответственно кто-то пытается подобрать пароль админа. У меня есть ip засранца и сервис whois говорит, что злодей этот - Таском. Поделитесь опытом, как грамотнее выйти из этой ситуации, пожаловаться может куда?

скриншот, выходишь на второй уровень техподдержки, раздуваешь ситуацию до "сломали сервер, увели деньги", прикладываешь доказательства

интересно, как они узнали имя твоего админа

никак не узнали, ломятся под стандартным "Администратор"

естественно учетка отключена

ты так делал уже?

вирусяка у них небось, тупо напиши им...

запрети на шлюзе этому ip Доступ к серверу и иди спать.

Пожалуй так я и сделаю, а завтра напишу им. Если не прекратят, буду жаловаться

> Если не прекратят, буду жаловаться в ЕСПЧ жалуйся

Не, наоборот включи учетку с минимальными правами и легкий пароль сделай. Наблюдай за ситуацией.

хитрый ход, сразу узнаешь сколько дыр в ОС есть

кто ж рдп наружу на стандартном порту держит?

Я держу, например. 600 подключений круглосуточно. И многие держат. А в чем проблема?

какая разница? сканер рдп все равно найдет, тут уж или за впн прятать, или просто защиту строить нормальную

Так проще, все клиенты по умолчанию с этим портом работают

> уж или за впн прятать это не очень хорошо. Всем клиентам впн не настроишь, особенно мобильным. И дыр в реализации впнов немало. Надо просто сидеть на рдп и правильный маршрутизатор иметь, чтоб атакующих сам банил.

при любом намеке на финансовые потери по вине контрагента такие конторы начинают землю рыть. Такой ситуации не было, были другие. Один звонок "из-за простоя мы терпим убытки,прямо сейчас" - все на уши встают.

подскажи девайсы. Как раз щас выстраиваем ипвпн большой

от задач все зависит и от любви к бренду. Я стареньким циско 2951 обхожусь и еще новый юнипер есть, но пока до конца не буду понимать его, не пойдет в работу. На резерв стоят два системника с FreeBSD 6.2 настроенные под нужды, включая BGP.

свеженькое из журнала: "Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 176.99.236.1."

было такое, сменили номер порта и больше никто не брутфорсит

и клиенты не беспокоят, т.к. подключиться не могут

не забудь, ноториально завереный скриншот обязательно должен быть

клиентам были выданы инструкции

а если у тебя будет 200-400-600 клиентов, если они будут на куче всяких платформ, включая планшеты, если они в разных странах и т.д. Всем будешь объяснять что из-за своей неспособности обеспечить безопасность серверов ты создаешь гемор любимым пользователям?

в чем гемор то? подумаешь адрес сервера на несколько символов длиннее

Ломанись по 3389 в ответку, удивишься.

т.е. ты считаешь нормальным переложить собственную несостоятельность на 500 клиентов, заставив их править адрес подключения? А когда тебя начнут брутфорсить на новом адресе, ты заставишь клиентов ставить тоннель на компьютеры? Другого решения проблемы ты не видишь?

У меня слава богу не 500 клиентов. И таких проблем нет. Как нет и альтернатив решения проблемы

невсякий рдп мог менять порты. по крайне мере старые не могли

> Как нет и альтернатив решения проблемы А может тебе пора начать искать альтернативы и не создавать проблемы даже своим 50-100 пользователям?

расслабься. у меня и у моих пользователей нет проблем

Ты пристрастен. Думаешь твоим 600 пользователям удобно помнить мозгодробильные пароли с кучей разных сортов знаков? Порт поменять им не удобно :)

Дак сервер все равно за роутером стоит. Поменять порт роутере  не проблема

ты просто не хочешь развиваться, обучаться и т.д. Админ мелкой конторы это таки тупиковая ветвь развития

я тоже не хочу.

Вот ты развился и обучился то о_О, админ большой конторы :))) чувак который вывозит самую большую машину со шлангом, тоже любит поучать коллег на машине поменьше.

У кого за роутером сидит? У клиента которых через 2G с планшета зашел?

при чем тут клиент. речь про сервер

ok

> при чем тут клиент. причем слитно пишется

не понял, а в чём смысл менять порт на роутере если наружу он висит на стандартном порту???

а подумать? Интернет -> Роутер -> Сервер

Ну вот уже скоро ...

И? как это повысит безопасность?

Еще бы, так как внутренняя сеть за NAT-ом. // Ну смена порта проще пареной репы

и где ты видел сервер предприятия смотрящий прямо в инет

не понял, я подключаюсь на 20 порт роутер меня перекидыват на 50 порт сервака. КАкая мне разница за каким натом и на каком порту сервак, если роутер всё равно сам меня приведёт к серваку? Другое дело что если бы наружу торчал нестандартный порт, например 12345 т.е. мне уже понадобилось бы время чтобы найти на каком порту у тебя РДП, а так искать ничего не надо вот он на стандартном месте. Так какая разница какой порт на сервере?

Причём тут это?

речь идет о конкретном РДП открытый наружу. точка. причём тут роутер и где в сети сервак стоит?

Алексей, не спугни!

я как поменял порт на нестандартный, так и брутфорс прекратился. к чему был пост ?

> я как поменял порт на нестандартный, так и брутфорс прекратился. значит тебя из внутренней сети сношали

Как-то вы лениво его рвете. facepalm.

а то я не вижу откуда соединения идут. Порт поменял на роутере кстати

(+58)тот сервер был кстати в сети один

выпью, пожалуй.

ты на швейной фабрике админиш?

нашел повод! чувака брутят, а он пить.

и сразу вопрос, как там в Иваново, бабы есть?

был бы он умный, решил бы проблему с атаками умным маршрутизатором

К клиенту, не всякий клиент (!) рдп может поменять порт. Но мы же сейчас обсуждаем БЕЗОПАСНОСТЬ, т.е. смену порта который наружу торчит, а что у тебя внутри делается никого не волнует, с точки зрения безопасности

ты путаешь умного с богатым

я вообще можно сказать не админю. Сервер был настроен специалистом и установлен на площадку (неизвестную мне). Так с 2009 года и работает. ты еще предложи умного админа нанять на 5 пользователей

это какой не может?

никакого богатства не надо чтоб на обычном системнике поднять FreeBSD и сделать себе маршрутизатор аналогичный дорогущему брендовому

как подключились наружу по белым опишнекам - сразу стучаться начали все кому не лень, пришлось переназначаться...

мне этот геморрой не нужен, моим работодателем - тоже

ты не админишь и у тебя всего 5 пользователей, а че тогда петушишься тут?

А системни за штуку с рук купить? А на баб Ивановских тебя чё потянуло? Выпил таки?

клиенты не  ограничиваются встроенным в windows 7/8 Есть еще MAC OS, всякиен андройды, симбиан. Да даже обычный RDP клиент который был в первых выпусках WinXP не могу просто так порт менять. это уже потом к SP3 его обновили

успокойся. Какая разница 5 или 50 пользователей. Поменял порт на нестандартный и атаки прекратились. Чего еще надо?

купите тогда брендовый маршрутник с мозгами, хотя и к нему нужен умный админ. Да, проще 5 пользователей нагнуть, чем вкладываться и учиться.

50 пользователей должны будут сменить порт на клиенте, тебя это не смущает?

А вот тут то мы вас и пожюрим! Нечего делать с андроидами на сервере.

с ipad подключался, с Ubuntu - подключался, c Win XP - тоже. Ни разу не было проблем. // Ну купишь и что дальше? разрешать подключатся только с определенных ip? // не вижу разницы писать Адрес или Адрес:порт. тем более адрес сохраняется. // Сейчас глянул к серверам (не моим) куда я подключаюсь иногда - везде надо указывать порт

Я ему про фому, а он мне про ерёму

и вот блондинко со своей свистелки подключается на боевой микрософтовский весь лицензионный сервак чтобы зайти в 1С чтобы что? хочет работать - пусть идет в офис и садится за стол.

> Ну купишь и что дальше? разрешать подключатся только с определенных ip? умные маршрутизаторы имеют мозги для отражения стандартных атак. Я вообще не замечаю такие атаки, раз в неделю на почту маршрутник присылает заблокированные адреса и куда они ломились упорно. Сигнатуры атак обновляются, свои деньги жерезо отрабатывает

хорошо с вами, только спать идти надо.

И сколько стоит такой маршрутизатор? ты бы еще Win98 в пример привел

>  вот блондинко со своей свистелки подключается а если блондинка будет твоим директором, ты будешь быстро вилять хвостом и учиться решать свои проблемы без нагрузки пользователей. Тебя просто еще под хвост никто не пинал.

Они имеют мозги тех админов, которые их админят.

> И сколько стоит такой маршрутизатор? разные суммы, зависит от нагрузки. Думаю, от 30т.р. до бесконечности. А еще можно немного мозг нагрузить и все сделать бесплатно на любом системнике.

слова "техническая возможность отсутствует" проникаю даже в уши директоров.

это до тех пор пока твои директорам не сказали что ты несостоятелен как админ и тебя пора менять на менее борзого и более работящего

если вилять перед директором, а обычным пользователям на дверь указывать - то можно перестать себя уважать, так незаметно. А если ещё и перед пользователями вилять. Админ терпила или админ холуй - очень неприятный выбор.

> Админ терпила или админ холуй - очень неприятный выбор А админ бездарность для тебя наверное приятный выбор.

Это от того, что твой директор не знает, в каких тяжелых сетевых боях ты спасаешь его офис каждый день и каждую ночь.

Из этих трех -да.

ok

Вот уже и Андрюха ушел, и Жора ... спокойной ночи

Открыл для себя новое - оказывается, качественное выполнение своей работы это холуйство, а качественно выполняющий свою работу - терпила. Надо это зафиксировать.

НА что он тебе будет парировать "мне пофиг как это будет технически реализовано, но мне нужно что бы было так" ты там чтобы проблемы решать или зарплату получать?

Старый как старый еврей баян, смени порт RDP, который наружу смотрит и все твои проблемы отвалятся сами собой.