king

为什么安全组或者防火墙规则已经屏蔽了远程端口3389/RDP服务,但还是有被暴力破解的记录?

king 运维技术 2022-06-07 953浏览 0

为什么安全组或者防火墙规则已经屏蔽了远程端口3389/RDP服务,但还是有被暴力破解的记录?

问题:

阿里云/腾讯云等云服务器安全组已经屏蔽了远程端口如:3389,但是还是一致有扫描爆破的登录记录

分析:

由于Windows登录审核机制的原因, $IPC 、RDP、SAMBA服务的登录审核过程被记录在同一个日志里面,且未区分具体登录方式。

解决方法:

在已经屏蔽了RDP服务端口还出现RDP被暴力破解记录时,您需要检查是否还开启了其它两个服务。

检查方法是查看ECS是否有监听135、139、445等端口并且外网IP均可访问,并且查看Windows安全类日志是否在该时段有对应的登录记录。


继续浏览有关 windows 的文章
发表评论