Ronald
15-08-2016, 14:29
Имеем сервер с ОС Win2008 server R2 x64 + сервер терминалов. Домена нет и не будет (пока по крайней мере). На сервере крутится 15-20 юзеров по RDP, и на роутере порт 3389 переброшен на 2999.
Всё работает нормально, но периодически наблюдаю работу эксплойта либо недохакера, который тупо перебирает пароли и логины. В последнее время вижу "улучшения", т.к. начал скрываться IP и не отследить кто и откуда перебирает, но перебор идёт всегда с 23:00 до 01:00 следующих суток (судя по логам) и всегда с ночи пятницы по утро понедельника.
За пару недель ничего сломать так и не удалось (юзера Администратор у меня попросту нет :) ), но в прошлую субботу удалось "убить" или "подвесить"пару svchost-ов и вырубить пару программ. Это начало напрягать.
Закрыться VPN`ом не вариант (инет контора берёт от соседней фирмы и там тупо 740й Tp-Link.
Но есть идея: Если атаки идут по временному промежутку, то может быть просто отключать службу сервера терминалов на ночное время? По моему это будет выглядеть так:
В установленной софте XStarter настраиваю по календарю расписание отключения и включения служб: TermService, TermServLicensing, SessionEnv.
XStarter умеет корректно остановить сервис, дождаться когда он остановиться, а перед запуском проверить не запущен ли сервис.
В итоге атакующий попросту не сможет присоединиться на сервер.
Вот только есть маленький стрём )) Как перенесёт такие переключения сервер терминалов и какие ещё службы я забыл?
ЗЫ: Или может есть другие здравые идеи?? Буду благодарен за подсказки.
Всё работает нормально, но периодически наблюдаю работу эксплойта либо недохакера, который тупо перебирает пароли и логины. В последнее время вижу "улучшения", т.к. начал скрываться IP и не отследить кто и откуда перебирает, но перебор идёт всегда с 23:00 до 01:00 следующих суток (судя по логам) и всегда с ночи пятницы по утро понедельника.
За пару недель ничего сломать так и не удалось (юзера Администратор у меня попросту нет :) ), но в прошлую субботу удалось "убить" или "подвесить"пару svchost-ов и вырубить пару программ. Это начало напрягать.
Закрыться VPN`ом не вариант (инет контора берёт от соседней фирмы и там тупо 740й Tp-Link.
Но есть идея: Если атаки идут по временному промежутку, то может быть просто отключать службу сервера терминалов на ночное время? По моему это будет выглядеть так:
В установленной софте XStarter настраиваю по календарю расписание отключения и включения служб: TermService, TermServLicensing, SessionEnv.
XStarter умеет корректно остановить сервис, дождаться когда он остановиться, а перед запуском проверить не запущен ли сервис.
В итоге атакующий попросту не сможет присоединиться на сервер.
Вот только есть маленький стрём )) Как перенесёт такие переключения сервер терминалов и какие ещё службы я забыл?
ЗЫ: Или может есть другие здравые идеи?? Буду благодарен за подсказки.