Wanneer je poort 3389 openzet naar buiten, wordt je elke seconde aangevallen door meestal chinese servers die dictionary attacks op RDP uitvoeren. Dit zie je aan failed login attempts met vreemde usernames in de windows security logs.
Nu kun je simpelweg "terug-RDP-en" naar het source IP adres en kom je vaak op een 2003 enterprise server terecht in het chinees.
Ik ben met een security opleiding bezig en als experiment heb ik rdesktop op mijn Ubuntu server gezet met e rdp-brute-force patch. Ik heb een password list en die heb ik losgelaten op deze chinese servers...
Helaas krijg ik een "connection terminated" na de eerste failed attempt. (dit is met de administrator account, die niet gelocked kan worden voor zover ik weet) Als ik dezelde aanval uitvoer op een server in mijn beheer, lukt het prima. De hele lijst wordt afgelopen.
Nu gaat mijn vraag niet zozeer over het oplossen van de "connection terminated", maar vooral om wat het verschil is. Wat hebben die chinese servers wat mijn servers (degene die ik voor mijn werk beheer bij verschillende klanten) niet hebben? Ik heb eerder gekeken naar extra beveiliging voor port 3389 die na een aantal keer een failed attempt niet de account lockt, maar de source IP lockt, maar heb nooit wat kunnen vinden.
Nu kun je simpelweg "terug-RDP-en" naar het source IP adres en kom je vaak op een 2003 enterprise server terecht in het chinees.
Ik ben met een security opleiding bezig en als experiment heb ik rdesktop op mijn Ubuntu server gezet met e rdp-brute-force patch. Ik heb een password list en die heb ik losgelaten op deze chinese servers...
Helaas krijg ik een "connection terminated" na de eerste failed attempt. (dit is met de administrator account, die niet gelocked kan worden voor zover ik weet) Als ik dezelde aanval uitvoer op een server in mijn beheer, lukt het prima. De hele lijst wordt afgelopen.
Nu gaat mijn vraag niet zozeer over het oplossen van de "connection terminated", maar vooral om wat het verschil is. Wat hebben die chinese servers wat mijn servers (degene die ik voor mijn werk beheer bij verschillende klanten) niet hebben? Ik heb eerder gekeken naar extra beveiliging voor port 3389 die na een aantal keer een failed attempt niet de account lockt, maar de source IP lockt, maar heb nooit wat kunnen vinden.