RDP security... brute force logins

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

Anoniem: 67691

Topicstarter
Wanneer je poort 3389 openzet naar buiten, wordt je elke seconde aangevallen door meestal chinese servers die dictionary attacks op RDP uitvoeren. Dit zie je aan failed login attempts met vreemde usernames in de windows security logs.
Nu kun je simpelweg "terug-RDP-en" naar het source IP adres en kom je vaak op een 2003 enterprise server terecht in het chinees.
Ik ben met een security opleiding bezig en als experiment heb ik rdesktop op mijn Ubuntu server gezet met e rdp-brute-force patch. Ik heb een password list en die heb ik losgelaten op deze chinese servers...
Helaas krijg ik een "connection terminated" na de eerste failed attempt. (dit is met de administrator account, die niet gelocked kan worden voor zover ik weet) Als ik dezelde aanval uitvoer op een server in mijn beheer, lukt het prima. De hele lijst wordt afgelopen.
Nu gaat mijn vraag niet zozeer over het oplossen van de "connection terminated", maar vooral om wat het verschil is. Wat hebben die chinese servers wat mijn servers (degene die ik voor mijn werk beheer bij verschillende klanten) niet hebben? Ik heb eerder gekeken naar extra beveiliging voor port 3389 die na een aantal keer een failed attempt niet de account lockt, maar de source IP lockt, maar heb nooit wat kunnen vinden.

Acties:
  • 0 Henk 'm!

  • iisschots
  • Registratie: November 2002
  • Laatst online: 31-05 15:04
Je bent je bewust dat wat je doet op die chinese servers illegaal is. Daar wil ik niet dat het in het topic over gaat.

Als je het gaat om de vraag wat kan ik doen om te zorgen dat mijn servers na een x aantal failed logins het source IP banned wil ik het topic een kans geven.

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!


Acties:
  • 0 Henk 'm!

Anoniem: 67691

Topicstarter
iisschots schreef op dinsdag 24 mei 2011 @ 07:17:
Je bent je bewust dat wat je doet op die chinese servers illegaal is. Daar wil ik niet dat het in het topic over gaat.

Als je het gaat om de vraag wat kan ik doen om te zorgen dat mijn servers na een x aantal failed logins het source IP banned wil ik het topic een kans geven.
Dat is precies waar het over gaat. Die chinese servers zijn lege 2003 enterprise servers in het chinees, daar heb ik verder weinig lol aan. Als ik een manier zocht om zelf te bruteforcen, had ik dit verhaal wel in andere vorm op een hackforum gezet. Ik zoek alleen al tijden een manier om brute force aanvallen te stoppen en toch port 3389 open te houden. Nu lossen we het met PPTP VPN's op, maar soms heb je een netwerk met heel veel gebruikers op heel veel locaties die je zomaar niet even overzet. 3389 beveiligen tijdelijk kan dan een uitkomst zijn.
Zelfs in firewalls heb ik nog niet zoiets gezien en de account lockout policy zorgt voor users die locked zijn omdat hun gebruikersnaam in de dictionary stond.

Wat hebben die chinezen dat ik niet heb :)

Acties:
  • 0 Henk 'm!

  • LuckY
  • Registratie: December 2007
  • Niet online
een GPO die de lockout policy zet? hun local/domain administrator account gerenamed?

Acties:
  • 0 Henk 'm!

  • fonsoy
  • Registratie: Juli 2009
  • Laatst online: 18:36
LuckY schreef op dinsdag 24 mei 2011 @ 20:30:
een GPO die de lockout policy zet? hun local/domain administrator account gerenamed?
Dat is een heel slechte oplossing. Een kwaadaardige DOSser kan zo de administrator account continue locked houden.

Lenovo W520 - i7 2720QM - 8GB DDR3 1333Mhz - 1080p - Nvidia 1000M - 9 cell accu


Acties:
  • 0 Henk 'm!

  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 31-05 01:30
waarschijnlijk gebruiken ze dit om de boel te beveiligen op RDP niveau

http://www.2x.com/securerdp/

gratis ook nog :P

A wise man's life is based around fuck you


Acties:
  • 0 Henk 'm!

  • RaZ
  • Registratie: November 2000
  • Niet online

RaZ

Funky Cold Medina

fonsoy schreef op dinsdag 24 mei 2011 @ 20:34:
[...]

Dat is een heel slechte oplossing. Een kwaadaardige DOSser kan zo de administrator account continue locked houden.
Nee, dat zie je verkeerd. Administrator gewoon renamen, en een nieuwe user Administrator maken, zonder rechten.

Ey!! Macarena \o/


Acties:
  • 0 Henk 'm!

  • Hennie-M
  • Registratie: December 2000
  • Laatst online: 09:11
RaZ schreef op dinsdag 24 mei 2011 @ 20:45:
[...]

Nee, dat zie je verkeerd. Administrator gewoon renamen, en een nieuwe user Administrator maken, zonder rechten.
Dit is een microsoft best practise: http://technet.microsoft..../cc747353%28WS.10%29.aspx

Acties:
  • 0 Henk 'm!

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Maar wel een outdated versie (SBS2003?).

Bovendien: een well known sid die op -500 eindigt. Beter delegeer je de privileges naar een andere nieuwe account en disable je de Administrator account.

renamen is zooooo 2005, en niet afdoende (security by obscurity).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Acties:
  • 0 Henk 'm!

Anoniem: 67691

Topicstarter
Powershell schreef op dinsdag 24 mei 2011 @ 20:42:
waarschijnlijk gebruiken ze dit om de boel te beveiligen op RDP niveau

http://www.2x.com/securerdp/

gratis ook nog :P
Van de site: "Computers that do not meet the filter restrictions don't get to see the logon screen and won't get to try a brute force logon"

Ik krijg echter gewoon het inlogscherm te zien en ik kan handmatig gewoon blijven proberen.
Pagina: 1