|
Как узнать IP | ☑ | ||
---|---|---|---|---|
0
Klesk
24.12.18
✎
05:45
|
идет подбор пароля на терминальный сервер (через нное количество раз учетка, если есть то блокируется), но если раньше было хотя бы Admin, Админ, Buh001, ZP то сейчас какой то бред SEX_SHOP, БА_НЯ, С_ПА, S_EX (без нижнего дефиса), в журнале windows не вижу IP подборщика, это можно как то настроить? (windows server 2012 std)
|
|||
1
Смотрящий
24.12.18
✎
07:45
|
(0) У тебя терминал торчит наружу голым задом. Прикройся впн
|
|||
2
MyNick
24.12.18
✎
07:49
|
(1) впн придумали трусы.
Ведь вычислить по IP местонахождение, прийти и набить мордасы - гораздо круче. |
|||
3
zak555
24.12.18
✎
07:51
|
В журнале пишется
|
|||
4
zak555
24.12.18
✎
07:51
|
(1) ВПН не торчит голым задом?
|
|||
5
zak555
24.12.18
✎
07:52
|
Ставь пароли несловарные в 26 знаков и не обращай внимание
|
|||
6
JeHer
24.12.18
✎
07:53
|
Интересно, 1С: Бордель всё-таки зарелизили? Откуда такой набор логинов? )))
|
|||
7
Мелифаро
24.12.18
✎
07:54
|
(4) Нет.
|
|||
8
Sserj
24.12.18
✎
08:14
|
(4) Он специально задуман для того чтобы торчать и у него бронированные ягодицы :)
|
|||
9
NorthWind
24.12.18
✎
08:40
|
(8) ну да... вскрыть какой-нибудь IKE у Cisco - посмотрел бы я на это...
|
|||
10
Повелитель
24.12.18
✎
08:42
|
(0) Достаточно поменять порт 3389, на любой другой.
Таких случаев будет в разы меньше. Проверил не практике. |
|||
11
ShAV
24.12.18
✎
08:47
|
(0) SEP. Поставил и забыл.
|
|||
12
Автоном
24.12.18
✎
11:04
|
(0)Посмотреть на роутере, или в журнале винды.
Если есть возможность - настроить вход только с разрешенных. Если пароли нормальные и безопасность RDP настроенна корректно - не взломают, не стоит беспокоится. Если есть случаи блокировки учетки - можете в VPN завернуть, можете порт поменять, на нестандартных поменьше брутят, можно имя учетки усложнить. |
|||
13
Автоном
24.12.18
✎
11:10
|
(2) VPN чисто для RDP это уж слишком.
Безопасность нормально настраивается и без него. Ну и торчит как правило сервер не голым задом, а за железным файерволом и NAT - просто проброшен нужный порт. |
|||
14
JeHer
24.12.18
✎
11:16
|
(13) не забывайте, что зараза может прилететь по почте, пофестивалить в локалке и ломануться наружу.
|
|||
15
ShAV
24.12.18
✎
11:18
|
(14) от этого нет защиты кроме как грамотные юзеры
|
|||
16
Garikk
24.12.18
✎
11:25
|
(15) от этого есть изолированная от инета локалка
|
|||
17
Автоном
24.12.18
✎
11:28
|
(14) Ну это уже другой вопрос, не касающийся RDP.
VPN штука полезная, и иногда без нее никак, но конкретно для RDP ее городить не обязательно. |
|||
18
Klesk
24.12.18
✎
11:35
|
да, порт другой, торчит конечно наружу, но пароль надежный и учетка блочится, если 7 раз неправильно набрали пароль, сервер не основной, думал насчет впн, но пока вроде за 10 лет и так нет проблем.
К сожалению в отказе доступа не видно инфы по IP: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Учетная запись, которой не удалось выполнить вход: ИД безопасности: NULL SID Имя учетной записи: СПА Домен учетной записи: Сведения об ошибке: Причина ошибки: Неизвестное имя пользователя или неверный пароль. Состояние: 0xC000006D Подсостояние: 0xC0000064 Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x0 Имя процесса вызывающей стороны: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался. |
|||
19
Автоном
24.12.18
✎
11:49
|
(18) А у вас точно включено - Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети» ?
|
|||
20
uno-group
24.12.18
✎
11:55
|
Диспечер задач-производительность-монитор ресурсов-сеть
Процес termsvcs в удаленных адресах находиш левый и блокируеш подсеть |
|||
21
uno-group
24.12.18
✎
12:00
|
Cyberarms Intrusion Detection Admin в демо режиме блокирует по одному ип в сутки. При многочисленных отказах, но надо внутренние компы с левыми запросами на сервак не ломились, доступы к левам шарам, компы не в домене и т.п.
|
|||
22
kauksi
24.12.18
✎
12:01
|
ставишь примитивную бесплатную ids https://cyberarms.net/media/1022/cyberarmsintrusiondetectionsetupx64_220.zip
, настраиваешь политики, доверенные ip, и все китайские подборщики идут в баню |
|||
23
kauksi
24.12.18
✎
12:01
|
(21) она теперь бесплатная и крякать не надо
|
|||
24
Автоном
24.12.18
✎
12:37
|
(20) А как узнать что он левый?
Если есть возможность отличать левые от нелевых - тогда разрешить вход только с указанных IP. |
|||
25
Автоном
24.12.18
✎
12:39
|
(22)Что это за шняга? Чего делает, то?
Политики и доверенные IP и в винде неплохо настраиваеются - нафига левый софт? |
|||
26
Nyoko
24.12.18
✎
13:16
|
Ограничить количество разрешенных ошибочных попыток входа.
(Если ты не пьян — то 3х раз тебе хватит, чтобы понять, что клавиатура не на том языке и не на том регистре.) Ограничить время для этих 3х попыток. (Можно ведь, 3 раза за неделю, а можно — 3 раза в секунду, да еще и многопоточно. И потому, как никто из кулхацкеров не тычет в клавиатуру одним пальцем долго выбирая букву, то там идет приличный трафик, который за 10 минут, которые определили разработчики успеет перебрать несколько сотен, пару тысяч комбинаций.) Установить время блокировки для входа в случае, если ты пьян, или если — ты — это не ты. (По умолчанию — 3 минуты ни кого не огорчат. Выставим пол-часа. Пусть устанут ждать.) |
|||
27
Klesk
24.12.18
✎
13:29
|
политика то настроена на блоч, хочется узнать с каких айпишников ломятся с такими стремными логинами, ограничивать по айпи не вариант, сотрудники отдыхать в турцию едут и т.п. Вопрос почему в винде айпи удаленного компа не видно.
|
|||
28
Klesk
24.12.18
✎
13:31
|
(27) хотя бы чтоб заблочить эти IP
|
|||
29
Василий Алибабаевич
24.12.18
✎
13:55
|
(27) "почему в винде айпи удаленного компа не видно"
Патамучта на комп внутри локалки заходит маршрутизатор. Вот он знает за IP удаленного. Нужно смотреть логи файрвола маршрутизатора. Какие IP в это время ломились в локалку по порту RDP. Только ничего оно тебе не даст. Тысячи их. |
|||
30
SeriyP
24.12.18
✎
14:01
|
дополнительно отключите в фаейрволе возможность пинговать ваш IP (ICMP трафик)
|
|||
31
Автоном
24.12.18
✎
14:18
|
(27) Сервер за NAT'ом роутера.
|
|||
32
Sserj
24.12.18
✎
14:25
|
Кажись считающие что RDP наружу с хорошими паролями и блокировщиками учеток никогда не встречались с проблеммой в реальности :)
Никто не напомнил что при входе по рдп происходит полная инициализация сеанса и когда начинают настойчиво подбирать этих сеансов может несколько сотен возникать, да они быстро убиваются но тут же появляются новые. Вплоть до полного отказа системы. |
|||
33
Бешеный заяц
24.12.18
✎
15:05
|
(0) на фейволе поставь с каких IP можно соединятся,забей диапазон IP провайдеров с которых пользователи соединяются.Вероятность что долбоящер с реального IP разрешенного провайдера долбится будет низка
|
|||
34
uno-group
24.12.18
✎
15:14
|
(29) 2003 сервер в той же ситуации пишет ип в лог.
|
|||
35
sitex
naïve
24.12.18
✎
15:15
|
(0) А что командная строка уже не в почте , netstat -a и т.д. Настрой Брандмауер на подключение диапазона IP которые подрубаются твои юзеры.
|
|||
36
sitex
naïve
24.12.18
✎
15:15
|
(35) не в почете*
|
|||
37
Автоном
24.12.18
✎
15:17
|
(35) И сидеть ждать когда боты начнут ломиться? Это уж совсем админу нечего делать если.
|
|||
38
uno-group
24.12.18
✎
15:18
|
(24) Не подключенные сеансы светятся серым. Пробить ИП откуда он и забанить если левый. Просто банишь непонравившиеся и смотришь пропал поток подбора паролей или не. если нет разбраниваешь.
|
|||
39
uno-group
24.12.18
✎
15:20
|
(37) Это для белых адресов. Если внешних юзеров мало то тот кто не смог подключиться звонит админу и тот узнав ИП вносит его в белый список.
|
|||
40
Автоном
24.12.18
✎
15:20
|
(32) Есть такая штука - проверка подлинности на уровне сети.
Выполняется до инициализации сеанса. Если ее выключить - да можно заддосить систему до полного отказа множественными подключениями. Поэтому все дело лишь в грамотной настройке RDP. |
|||
41
sitex
naïve
24.12.18
✎
15:21
|
(37) Нечего не надо сидеть ждать. Увеличил немного попытки блокировки и сразу молодец окажется в списке. Диапазон пошел в список брандмауэра . Делов на 20-30 минут
|
|||
42
Автоном
24.12.18
✎
15:23
|
(38), (39) Шутите?
Десятки подключений пользователей, плюс сотни попыток подбора - и вы прелагаете админу дежурить и контролировать это в режиме реального времени? Обычно если ограничивают по IP - позвонили админу, он в течении суток внес IP в список разрешенных. |
|||
43
Автоном
24.12.18
✎
15:25
|
(41)Не понял про какой список идет речь?
нетстат покажет кто ломится. А дальше что? |
|||
44
sitex
naïve
24.12.18
✎
15:27
|
(43) Если грамотный админ ему не нужны всякие чудо проги и т.д. все сделает из консоли . А дальше анализ и как вы сами сказали в (40) грамотная настройка RDP и фаера.
|
|||
45
Nyoko
24.12.18
✎
15:35
|
круче чем эта sd карты не встречал, просто бомба
https://www.yarkiy.ru/goods/14076-sdxc-64gb-sony-class10-uhs-1-sf64uxt-94mbs из usb взял бы опять sony USB-флешка SONY MicroVault Entry 64Gb Black (USM64X/B) |
|||
46
Nyoko
24.12.18
✎
15:38
|
(45) сорян перепутал окошко...
|
|||
47
uno-group
24.12.18
✎
16:00
|
(42) К челу сейчас ломится и он не может заблокировать судя из вопроса и возникновения темы не может у него быть десятки внешних подключений. Я предложил как за 5-10 минут сейчас можно увидеть сволочь и заблокировать, а дальше спокойно читать и настраивать систему.
|
|||
48
Автоном
24.12.18
✎
17:29
|
(44)Ну а завтра другой ломиться будет? Неужто каждого отслеживать.
Проще настроить нормально и нехай они ломятся - не жалко. |
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |