OVH Community, your new community space.

Como proteger w2k8 de intentos de conexión terminal


litez
21/04/2013, 11:23
Eso de montar la VPN un poco complicado no?

Como empezar? Y si tenemos web podrian ver la pagina sin problemas?

jaumas
19/04/2013, 08:23
Cita Publicado inicialmente por bz2
una VPN y el RDP restringido puede ser una opción.
Estoy de acuerdo. Monta un OpenVPN server en tu servidor y cierra todo lo demás. Luego tienes clientes para Linux, Mac, Win, Android, iOS etc.

Jaime

bz2
18/04/2013, 13:01
Cambiando los puertos es una buena solución que asegura que no te de la tabarra el 95% del tráfico que se dedica a escanear rangos con el RDP activo (lo mismo pasa con el SSH), pero no elimina el problema por completo. Si tienes tiempo y recursos, una VPN y el RDP restringido puede ser una opción.

jack2
18/04/2013, 12:00
Correcto, la solución es cambiar los puertos de RDP, SQL Server

Guille
15/04/2013, 07:46
También puedes cambiar el puerto en el que escucha Terminal Server
http://support.microsoft.com/kb/187623/es

oscartecnia
15/04/2013, 06:48
Pues de momento lo tengo en trial mode (lo probare algunos dias mas), pero creo que va bien, porque ya ha autoañadido al firewall de entrada 3 IPs.

Seguire probandolo, pero de momento me gusta :-) En 3 o 4 dias ya contare algo más de como ha ido.

14/04/2013 21:43 [INFO]: Failed logon attempt from: 94.23.153.153
14/04/2013 21:52 [INFO]: Failed logon attempt from: 188.227.161.34
14/04/2013 23:07 [INFO]: Failed logon attempt from: 37.220.22.226
14/04/2013 23:10 [INFO]: Failed logon attempt from: 112.65.240.228
14/04/2013 23:10 [INFO]: Failed logon attempt from: 112.65.240.228
14/04/2013 23:10 [INFO]: Failed logon attempt from: 112.65.240.228
14/04/2013 23:10 [INFO]: 112.65.240.228 blocked
14/04/2013 23:22 [INFO]: Failed logon attempt from: 188.227.161.34
14/04/2013 23:22 [INFO]: Failed logon attempt from: 188.227.161.34
14/04/2013 23:22 [INFO]: Failed logon attempt from: 188.227.161.34
14/04/2013 23:22 [INFO]: 188.227.161.34 blocked
15/04/2013 2:11 [INFO]: Failed logon attempt from: 94.23.209.6
15/04/2013 6:20 [INFO]: Failed logon attempt from: 37.220.22.226
15/04/2013 6:21 [INFO]: Failed logon attempt from: 201.15.50.244
15/04/2013 6:22 [INFO]: Failed logon attempt from: 201.15.50.244
15/04/2013 6:22 [INFO]: Failed logon attempt from: 201.15.50.244
15/04/2013 6:22 [INFO]: Failed logon attempt from: 201.15.50.244
15/04/2013 6:22 [INFO]: 201.15.50.244 blocked

litez
15/04/2013, 02:12
Vaya lamento lo que te ocurre, pero me parece muy interesante, y ya que lo vas a probar, ¿podrias ponernos aqui si consigue solucionar el ataque?

Muchas gracias.

oscartecnia
14/04/2013, 20:48
Bueno, encontre una solución que me parece buena, si alguien conoce alguna mejor se agradecerá.

Este programa analiza los logs de conexion y se puede parametrizar el bloqueo/desbloqueo de ips automaticas y de logons de usuario automaticos. El precio unos 60€ (razonable si es efectivo... ya os contare)

http://rdpguard.com/

oscartecnia
14/04/2013, 19:09
Hola a tod@s!
El visor de sucesos registra cientos de errores de auditoria (a ratos un intento cada 10-20 segundos durante muchas horas), con intentos de conexión de escritorio remoto de usuarios inexistentes en mi sistema.
Se intenatn conectar diria yo que con un diccionario y que ademas saben que mi servidor esta en la red de ovh, ya que los usuarios son: ovh, ovh_usr, marc, pedro, admin, administrator, john, mickael, etc...

Mi servidor es un dedicado SP16G con windows 2008 R2 y plesk 11.

Alguien me puede decir como puedo pararlo? Tengo un listado enorme de Ips, pero no se si es muy correcto bloquear todas las IPs, o se podria automatizar de alguna manera que al tercer intento desde una IP la bloquee durante 1 hora o asi...

Si alguien tiene alguna idea de como podria bloquearlo, ya sabeis.. eternamente agradecido :-)

El error que aparece cientos de veces (cambiando el usuario de conexión y la IP de cuando en cuando) es este:

Error de una cuenta al iniciar sesión.

Sujeto:
Id. de seguridad: SYSTEM
Nombre de cuenta: NOMBREDEMISERVIDOR$
Dominio de cuenta: WORKGROUP
Id. de inicio de sesión: 0x3e7

Tipo de inicio de sesión: 10

Cuenta con error de inicio de sesión:
Id. de seguridad: NULL SID
Nombre de cuenta: marc
Dominio de cuenta: NOMBREDEMISERVIDOR

Información de error:
Motivo del error: Nombre de usuario desconocido o contraseña incorrecta
Estado: 0xc000006d
Subestado: 0xc0000064

Información de proceso:
Id. de proceso del autor de la llamada: 0x1418
Nombre de proceso del autor de la llamada: C:\Windows\System32\winlogon.exe

Información de red:
Nombre de estación de trabajo: NOMBREDEMISERVIDOR
Dirección de red de origen: 188.187.170.236
Puerto de origen: 61042

Información de autenticación detallada:
Proceso de inicio de sesión: User32
Paquete de autenticación: Negotiate
Servicios transitados: -
Nombre de paquete (sólo NTLM): -
Longitud de clave: 0



Otro mas:Error de una cuenta al iniciar sesión.

Sujeto:
Id. de seguridad: SYSTEM
Nombre de cuenta: NOMBREDEMISERVIDOR$
Dominio de cuenta: WORKGROUP
Id. de inicio de sesión: 0x3e7

Tipo de inicio de sesión: 10

Cuenta con error de inicio de sesión:
Id. de seguridad: NULL SID
Nombre de cuenta: support_388945a0
Dominio de cuenta: NOMBREDEMISERVIDOR

Información de error:
Motivo del error: Nombre de usuario desconocido o contraseña incorrecta
Estado: 0xc000006d
Subestado: 0xc0000064

Información de proceso:
Id. de proceso del autor de la llamada: 0x1054
Nombre de proceso del autor de la llamada: C:\Windows\System32\winlogon.exe

Información de red:
Nombre de estación de trabajo: NOMBREDEMISERVIDOR
Dirección de red de origen: 187.9.27.14
Puerto de origen: 1566

Información de autenticación detallada:
Proceso de inicio de sesión: User32
Paquete de autenticación: Negotiate
Servicios transitados: -
Nombre de paquete (sólo NTLM): -
Longitud de clave: 0