Обнаружена сетевая атака

[User89]

Кто-то лезет на сервер постоянно, вбил этот айпишник в браузере - там какой-то сервер с батником и еще двумя файлами, антивирус говорит, что это троян.

"11.04.2020 12:12:00 Обнаружена сетевая атака Kaspersky Endpoint Security 10 для Windows

Активный пользователь Запрещено: Bruteforce.Generic.Rdp.d TCP от 185.175.93.13 на локальный порт 3389 "

 

Как заблокировать его? На роутере как-то можно или в среде windows server 2008?

 

Сообщение от модератора SQ

Тема перемещна из раздела - Уничтожение вирусов

[SQ]

Здравствуйте,

Вы пробовали запретить указанный ip-адрес на вашем firewall на сервере или роутере?

Если нужна помощь по лечению сервера, то - «Порядок оформления запроса о помощи».

 

 

Как заблокировать его? На роутере как-то можно или в среде windows server 2008?

 

Лучше заблокировать на роутере, если там есть такая возможность, иначе заблокируйте на Вашем сервере.

[User89]

Лучше заблокировать на роутере, если там есть такая возможность, иначе заблокируйте на Вашем сервере.

Нашел на роутере "Межсетевой экран" - там заблокировал айпишник, надеюсь атаки прекратятся, посмотрим.

 

 

[SQ]

Сообщите, если вам требуется еще помощь?

[oit]

В КЕС 10 также есть сетевой экран. Можете заблокировать доступ по 3389 порту из всей публичной сети.

В-принципе, любой порт можно также заблокировать

[User89]

Сообщите, если вам требуется еще помощь?

Вроде прекратились атаки, думаю всё хорошо.

В КЕС 10 также есть сетевой экран. Можете заблокировать доступ по 3389 порту из всей публичной сети.

В-принципе, любой порт можно также заблокировать

Спасибо, обязательно попробую.

[Ummitium]

Что-то непонятно. Как это, имея роутер, вы получаете сообщения о сетевых атаках?

Любое входящее соединение из интернета, попадая на роутер, блокируется, если в роутере не прописать проброс портов.

Получается, вы или кто-то из адиинистраторов сети ранее открыли в роутере порт 3389, чтоб соединяться из дома по RDP и теперь получаете проблему.

[User89]

Что-то непонятно. Как это, имея роутер, вы получаете сообщения о сетевых атаках?

Любое входящее соединение из интернета, попадая на роутер, блокируется, если в роутере не прописать проброс портов.

Получается, вы или кто-то из адиинистраторов сети ранее открыли в роутере порт 3389, чтоб соединяться из дома по RDP и теперь получаете проблему.

Ну да, проброшен порт для доступа по рдп

[andrew75]

Ну да, проброшен порт для доступа по рдп

как минимум измените внешний номер порта на роутере.

 

Через групповую политику включите на сервере политику блокировки учетной записи (Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политика учетных записей - Политика блокировки учетной записи).

 

И не стоит открывать RDP порт, даже измененный всему миру. Ограничьте доступ хотя бы нужными подсетями, если нет возможности открыть только нужные IP.

 

А в идеале конечно нужно настраивать VPN.

Изменено 15 апреля, 2020 пользователем andrew75

[User89]

 

Ну да, проброшен порт для доступа по рдп

как минимум измените внешний номер порта на роутере.

 

Через групповую политику включите на сервере политику блокировки учетной записи (Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политика учетных записей - Политика блокировки учетной записи).

 

И не стоит открывать RDP порт, даже измененный всему миру. Ограничьте доступ хотя бы нужными подсетями, если нет возможности открыть только нужные IP.

 

А в идеале конечно нужно настраивать VPN.

 

Порт изменен, конечно, политику посмотрю, VPN пока не освоил, мой роутер вроде так не умеет