Seneste forumindlæg
-
Jeg skal logge ind næsten hver gang jeg bruger hol... (18)
-
Stjålet dæk ved dinbilpartner. (120)
-
USB-C er minefelt (43)
-
Temu, Aliexpress Told?? (21)
-
Bøvl med login ved nyt indlæg (12)
-
Nvidia RTX 4090 Brænder åbenbart stadig af (9)
-
75" TV til 6.000 kr. uden præferencer (12)
-
Ny mobiltelefon - hvilken (32)
-
Købe Youtube Premium fra Tyrkiet (173)
-
Teenageres internetforbrug (44)
-
Give away (8)
-
Hjælp til cpu/ram/mb bundle (6)
-
Grafikkort eller anden der er fejlen? (10)
-
Erfaring med Minisforum (0)
-
RTX GPU - Founders Edition eller Asus ? (10)
-
Bahnhofinternet ny udbyder på market (24)
-
Langsom levering fra Komplett? (38)
-
PSU-tester? (3)
-
Søger hjælp nær Odsherred med ps5 (0)
-
Tilbud tråd (105)
-
upgrade af pc den forvirret Re. (11)
-
Idiot spørgsmål ang. RAM (8)
-
Computer crasher under spil og benchmark (28)
-
Triple 27" vs double 32" vs single 49 ultra wide (7)
-
Bredbånd vs Fiber (15)
-
Billigt fiber til Aarhusianerne (Kazoom) (12)
-
VPN igennem ethernetport på router (5)
-
Amazon Prime/Gaming Tilføj mobil NR. (3)
-
Gamerskærm bagud kompatibel? (7)
-
50-55" TV til 5000,- m. høj HZ (7)
-
Hjælp delid 8086k (7)
-
Bærbar til skole (7)
-
AMD Zen 5 (11)
-
Router laver kortvarig timeout på netværket (3)
-
Ingen fibernet centralt i København (11)
Køb / Salg
 * Uofficiel Black/White liste V3
-
S: Lenovo T480s (6)
-
V/S: MSI 4080 Ventus 3X Defekt (10)
-
S: I7 6700K (3)
-
V: AORUS GeForce® RTX 2080 SUPER™ 8G (2)
-
S: 2*32 GB 3200MHz CL16 DDR4 ram (1)
-
S: 2TB NVMe diske (7)
-
søger RX6600/1080/6800S/2060/2070/7600/6600 XT/206... (0)
-
K: RTX 3060 (1)
-
S: 2 x 3 dages gamebox billetter foræres næsten væ... (3)
-
i5-6600/GTX970 PC og Skærm sælges. (0)
-
S: Fuld gamerpc i dele (13)
-
S: GIGABYTE RTX4070 Ti SUPER AERO OC 16G (4)
-
K: LIFX produkter (0)
-
K: DDR4 16 eller 32 GB (2)
-
V: Inno3D GeForce RTX 4090 X3 OC (4)
-
S: 1 års Norton 360 DELUXE (4)
-
S: SilverStone SFX Series ST45SF (450W) (5)
-
S: 2stk Dell PowerEdge R730, E5-2690, 192GB Ram (4)
-
S: iPad Pro 4th 11" gen 128GB Space Gray - som ny (0)
-
S: Bose Companion 20, PC/gaming speakers (1)
Login / opret bruger
Forum \ Software \ Sikkerhed
Denne tråd er over 6 måneder gammel

Er du sikker på, at du har noget relevant at tilføje?

RDP attack fra min IP

Af Gæst WASD | 24-10-2019 22:16 | 3594 visninger | 10 svar, hop til seneste
Hej HOL. Jeg har en internetforbindelse med en Zyxel NBG6616 router og en tilkoblet server kørende ESXi med en Linux VM og en Windows SRV VM. Jeg har nu fået en besked fra min ISP om, at de har fået en henvendelse gennem abuse om, at min linje har prøvet at knække RDP passwords. De skriver også, at det kan være alt fra et sikkerhedshul i routeren til whatever. Hvordan kan jeg finde frem til hvad det er der laver løjer?
--
Gæstebruger, opret dit eget login og få din egen signatur.
#1
inckie
Guru
25-10-2019 00:16

Rapporter til Admin
Prøv at lav nogle firewall regler der henholdvis logger og blokere forbindelser der bliver oprettet til RDP. Din router har helt sikkert en firewall, men det er ikke sikkert den kan logge droppet pakker. Men i Linux og Windows kan du med f.eks. iptables og Windows firewall blokere og logge, så det kunne du gøre på alle dine computere/vm's iptables eksempel på drop/log regel: https://stackoverflow.com[...] Windows firewall log: https://www.howtogeek.com[...] Via firewall logs burde du kunne sjusse dig frem til hvor trafikken kommer fra.
--
https://twitter.com[...] https://linuxmint.com[...] - Få dit privatliv tilbage.
--
Sidst redigeret 25-10-2019 00:19
#2
Sven Bent
Maxi Nørd
25-10-2019 06:17

Rapporter til Admin
hvis det kun er et faa tal af maskiner saa vil jeg menet at du kan bruge netstat paa de individuelle maskiner til at se dine forbindelser
--
Sven Bent - Dr. Diagnostic www.TechCenter.[...] - Home of Project Mercury
#3
stallemanden
HOL Moderator
25-10-2019 08:43

Rapporter til Admin
Som jeg læser det, så er der noget på dit netværk, der forsøger at logge ind på diverse andre åbne RDPs. Første step ville nok være, at blokere udgående trafik på RDP-porten. og så tænker jeg, at du må i gang med at gennemgå dine maskiner for snask.
--
http://onsdagssnegl.dk[...] "Held er noget, der indtræffer, når grundige forberedelser mødes med gunstig lejlighed"
#4
wazer^
Junior Nørd
25-10-2019 19:58

Rapporter til Admin
Kan anbefale https://github.com[...]
--
if ( $life( $me ) == $null ) { getLife( $me ) | halt }
#5
Sven Bent
Maxi Nørd
26-10-2019 02:22

Rapporter til Admin
#4 ser ikke ud til at avre relevant for op. det lginer at ipban er ligesom mange andre RDP logins skjol er ti lat beskytte en "Server" imod uventede forsoeg paa at logge ind. OP problem er at noget paa hans system proever at lukke paa maskiner ude paa nettet OP er altsaa angriberen og ikke serveren der skal beskyttese
--
Sven Bent - Dr. Diagnostic www.TechCenter.[...] - Home of Project Mercury
#6
anox
Gæst
26-10-2019 02:38

Rapporter til Admin
#0, først skriv tilbage til din ISP og bed den klaphat lukke sin RDP. RDP er broken og kun et spørgsmål om tid før en får adgang. Dernæst, gennemgå dine servere for trafik ud på nettet. Du har vel ikke RDP åben for det vilde internet? Hvis du har vil den server være et godt bud på den skyldige synder.
--
Gæstebruger, opret dit eget login og få din egen signatur.
#7
WASD
Gæst
26-10-2019 17:07

Rapporter til Admin
- Tak for jeres inputs! Jeg har opsat alle firewalls til at logge og blokere alt kørende på port 3389, både inbound og outbound. Indtil videre har hverken det eller netstat givet noget spark til, hvor problemet ligger. Som #6 også skriver, lyder det til at RDP er noget pis. På pågældende tidspunkt havde jeg i en kort periode åbent udadtil for RDP - Kan jeg regne med at det kan være synderen?
--
Gæstebruger, opret dit eget login og få din egen signatur.
#8
WASD
Gæst
27-10-2019 22:22

Rapporter til Admin
Lige for at afslutte det her post kan jeg afsløre at firewall logging gav pote. Det viste sig at være Windows Serveren. I bursts sendte den trafik mod alverdens iper på port 3389 (17000 på 7 sek.). Nu er jeg bare lettet over at det var den VM jeg hostede for en anden. (Det kan muligvis være farligt at stå til ansvar for andres maskiner :))
--
Gæstebruger, opret dit eget login og få din egen signatur.
#9
Sven Bent
Maxi Nørd
27-10-2019 22:46

Rapporter til Admin
#6 ja fordi op bestemmer over hvad andre folk har at keorende paa deres maskiner Tror sgu man selv skal vaere lidt en klaphat for at mene man bestemmer det. #7 Ikke direkte synderen nej. bare fordi du har en RDP server staende smider du ikke login request ud til andre RDP servere. Du skal nok egne med at du har haft uvente besoeg paa din maskine som bruger den som en del af deres botnet til at finde andre RDP maskiner Hvis du kore med RDP server saa kig paa softwae som #4 er inde paa som beskytter imod brute force attack eller udskift det med noget andet fjernjustering. Du burde nok tage en snak med hvem du hostede VM'en fpor om hvad de laver. eller i det mindste sikre sig at de har lidt sikkerheds paa deres "maskine"
--
Sven Bent - Dr. Diagnostic www.TechCenter.[...] - Home of Project Mercury
#10
anox
Gæst
27-10-2019 23:41

Rapporter til Admin
#8 godt du fandt ud af det. Dog behøves det ikke være ejeren af VM der er synderen. Mere tyder på en bot, der efter brud, er begyndt at scanne videre. Jeg vil dog anbefale dig at undersøge alle enheder på det pågældende subnet for mistænkelig trafik. Du kan risikere hele netværk gemmer på flere overraskelser der ikke just er en epileptiker i rustning. Du kan ligeledes godt bruge RDP, bare det sker via VPN, RDS eller lignende teknologi, der gør den ikke er åben for alle :)
--
Gæstebruger, opret dit eget login og få din egen signatur.

Opret svar til indlægget: RDP attack fra min IP

Grundet øget spam aktivitet fra gæstebrugere, er det desværre ikke længere muligt, at oprette svar som gæst.

Hvis du ønsker at deltage i debatten, skal du oprette en brugerprofil.

Opret bruger | Login


ANNONCE