为什么安全组或者防火墙规则已经屏蔽了远程端口3389/RDP服务,但还是有被暴力破解的记录?
问题:
阿里云/腾讯云等云服务器安全组已经屏蔽了远程端口如:3389,但是还是一致有扫描爆破的登录记录
分析:
由于Windows登录审核机制的原因, $IPC 、RDP、SAMBA服务的登录审核过程被记录在同一个日志里面,且未区分具体登录方式。
解决方法:
在已经屏蔽了RDP服务端口还出现RDP被暴力破解记录时,您需要检查是否还开启了其它两个服务。
检查方法是查看ECS是否有监听135、139、445等端口并且外网IP均可访问,并且查看Windows安全类日志是否在该时段有对应的登录记录。
发表评论