Перейти к содержанию

Обнаружена сетевая атака


User89

Рекомендуемые сообщения

Кто-то лезет на сервер постоянно, вбил этот айпишник в браузере - там какой-то сервер с батником и еще двумя файлами, антивирус говорит, что это троян.

"11.04.2020 12:12:00 Обнаружена сетевая атака Kaspersky Endpoint Security 10 для Windows

Активный пользователь Запрещено: Bruteforce.Generic.Rdp.d TCP от 185.175.93.13 на локальный порт 3389 "

 

Как заблокировать его? На роутере как-то можно или в среде windows server 2008?

 

Сообщение от модератора SQ
Тема перемещна из раздела - Уничтожение вирусов

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

Вы пробовали запретить указанный ip-адрес на вашем firewall на сервере или роутере?

Если нужна помощь по лечению сервера, то - «Порядок оформления запроса о помощи».

 


 

Как заблокировать его? На роутере как-то можно или в среде windows server 2008?

 

Лучше заблокировать на роутере, если там есть такая возможность, иначе заблокируйте на Вашем сервере.

Ссылка на комментарий
Поделиться на другие сайты

Лучше заблокировать на роутере, если там есть такая возможность, иначе заблокируйте на Вашем сервере.

Нашел на роутере "Межсетевой экран" - там заблокировал айпишник, надеюсь атаки прекратятся, посмотрим.

 

 

Ссылка на комментарий
Поделиться на другие сайты

В КЕС 10 также есть сетевой экран. Можете заблокировать доступ по 3389 порту из всей публичной сети.

В-принципе, любой порт можно также заблокировать

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Сообщите, если вам требуется еще помощь?

Вроде прекратились атаки, думаю всё хорошо.

В КЕС 10 также есть сетевой экран. Можете заблокировать доступ по 3389 порту из всей публичной сети.

В-принципе, любой порт можно также заблокировать

Спасибо, обязательно попробую.

Ссылка на комментарий
Поделиться на другие сайты

Что-то непонятно. Как это, имея роутер, вы получаете сообщения о сетевых атаках?

Любое входящее соединение из интернета, попадая на роутер, блокируется, если в роутере не прописать проброс портов.

Получается, вы или кто-то из адиинистраторов сети ранее открыли в роутере порт 3389, чтоб соединяться из дома по RDP и теперь получаете проблему.

Ссылка на комментарий
Поделиться на другие сайты

Что-то непонятно. Как это, имея роутер, вы получаете сообщения о сетевых атаках?

Любое входящее соединение из интернета, попадая на роутер, блокируется, если в роутере не прописать проброс портов.

Получается, вы или кто-то из адиинистраторов сети ранее открыли в роутере порт 3389, чтоб соединяться из дома по RDP и теперь получаете проблему.

Ну да, проброшен порт для доступа по рдп

Ссылка на комментарий
Поделиться на другие сайты

Ну да, проброшен порт для доступа по рдп

как минимум измените внешний номер порта на роутере.

 

Через групповую политику включите на сервере политику блокировки учетной записи (Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политика учетных записей - Политика блокировки учетной записи).

 

И не стоит открывать RDP порт, даже измененный всему миру. Ограничьте доступ хотя бы нужными подсетями, если нет возможности открыть только нужные IP.

 

А в идеале конечно нужно настраивать VPN.

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты

 

Ну да, проброшен порт для доступа по рдп

как минимум измените внешний номер порта на роутере.

 

Через групповую политику включите на сервере политику блокировки учетной записи (Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политика учетных записей - Политика блокировки учетной записи).

 

И не стоит открывать RDP порт, даже измененный всему миру. Ограничьте доступ хотя бы нужными подсетями, если нет возможности открыть только нужные IP.

 

А в идеале конечно нужно настраивать VPN.

 

Порт изменен, конечно, политику посмотрю, VPN пока не освоил, мой роутер вроде так не умеет

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • foroven
      Автор foroven
      Добрый день. После того как мы словили вирус шифровальщик и был установлен антивирусный продукт лаборатории Касперского, в его журнале каждый час стали появляться записи о сетевой атаке. Причем адрес атакующего компьютера это Linux-система с установленным Kerio Control. Может ли Касперсий так реагировать на его работу? Или он может быть заражен? Спасибо.
    • Ezexec
      Автор Ezexec
      Стал замечать большие просадки фпс в разных играх. C открытым диспетчером задач проблема всегда уходит. В самом диспетчере нашел "левый" процесс с фейковой иконкой дискорда, который периодически меняет рандомно названия. Погуглив, понял, что это самый настоящий майнер. Заблочил мне все антивирусы, редактор реестра и службы. Из-за этого никакими статьями и советами не могу избавиться от этого майнера. Был бы рад какому либо совету или помощью.
    • KL FC Bot
      Автор KL FC Bot
      По данным исследовательской компании Juniper Research, оборот электронной торговли в 2024 году превысил 7 триллионов долларов и, по прогнозам, вырастет в полтора раза за следующие пять лет. Но интерес злоумышленников к этой сфере растет еще быстрее. В прошлом году потери от мошенничества превысили $44 млрд, а за пять лет вырастут до $107 млрд.
      Онлайн-площадка любого размера, работающая в любой сфере, может стать жертвой — будь это маркетплейс контента, магазин стройматериалов, бюро путешествий или сайт аквапарка. Если вы принимаете платежи, ведете программу лояльности, поддерживаете личный кабинет клиента — к вам обязательно придут мошенники. Какие схемы атаки наиболее популярны, что за потери несет бизнес и как все это прекратить?
      Кража аккаунтов
      Благодаря инфостилерам и различным утечкам баз данных у злоумышленников на руках есть миллиарды пар e-mail+пароль. Их можно по очереди пробовать на любых сайтах с личным кабинетом, небезосновательно надеясь, что жертва атаки везде использует один и тот же пароль. Эта атака называется credential stuffing, и, если она будет успешна, злоумышленники смогут от имени клиента оплачивать заказы привязанной к аккаунту кредитной картой или использовать баллы лояльности. Также мошенники могут использовать аккаунт для махинаций с покупкой товаров и оплатой сторонними банковскими картами.
       
      View the full article
    • Александр КС
      Автор Александр КС
      Здравствуйте. Столкнулись с шифровальщиком. 1 компьютер остался включенным на майские праздники. Судя по дате изменения файлов 4 дня зашифровывались файлы и он перекинулся на сетевой диск. 5 мая утром он начал шифровать файлы и на других компьютерах, после их включения. После отключения 1 компьютера от сети шифрование по сети остановилось. Антивирус увидел, что файл morgan.exe начал менять уже .exe файлы и был удален. Был отформатирован диск С и установлена новая windows. Но тысячи файлов остались зашифрованными. Логи, зараженные файлы и записку от злоумышленника прилагаю.
      Зашифрованные файлы и записка.rar Addition.txt FRST.txt
    • kringil
      Автор kringil
      После заражения трояном Trojan.PWS.Salat.10 (судя по всему, антивирус именно его выдал как вирус) и во время его существования появляются сетевые диски, которые сами подключились к компьютеру, сетевые диски и троян я удалил, но спустя пару дней после удаления трояна не получается открыть редактор реестра и уводят аккаунт телеграмм (после захода в аккаунт был бан у Spam Info Bot до 30 июня за спам и все сеансы завершены, двухфакторка стоит на всех аккаунтах). При попытке открыть редактор реестра выводит ошибку 0xc0000017 (Другие системные приложения тоже не открываются)CollectionLog-2025.06.30-17.26.zip


×
×
  • Создать...