Toon posts:

RDP security... brute force logins

Pagina: 1
Acties:

dinsdag 24 mei 2011 03:05

Acties:
  • 0Henk 'm!
  • Anoniem: 67691
  • Registratie: Oktober 2002
  • Niet online

Anoniem: 67691

Topicstarter
Wanneer je poort 3389 openzet naar buiten, wordt je elke seconde aangevallen door meestal chinese servers die dictionary attacks op RDP uitvoeren. Dit zie je aan failed login attempts met vreemde usernames in de windows security logs.
Nu kun je simpelweg "terug-RDP-en" naar het source IP adres en kom je vaak op een 2003 enterprise server terecht in het chinees.
Ik ben met een security opleiding bezig en als experiment heb ik rdesktop op mijn Ubuntu server gezet met e rdp-brute-force patch. Ik heb een password list en die heb ik losgelaten op deze chinese servers...
Helaas krijg ik een "connection terminated" na de eerste failed attempt. (dit is met de administrator account, die niet gelocked kan worden voor zover ik weet) Als ik dezelde aanval uitvoer op een server in mijn beheer, lukt het prima. De hele lijst wordt afgelopen.
Nu gaat mijn vraag niet zozeer over het oplossen van de "connection terminated", maar vooral om wat het verschil is. Wat hebben die chinese servers wat mijn servers (degene die ik voor mijn werk beheer bij verschillende klanten) niet hebben? Ik heb eerder gekeken naar extra beveiliging voor port 3389 die na een aantal keer een failed attempt niet de account lockt, maar de source IP lockt, maar heb nooit wat kunnen vinden.

dinsdag 24 mei 2011 07:17

Acties:
  • 0Henk 'm!
  • iisschots
  • Registratie: November 2002
  • Laatst online: 27-05 16:55

iisschots

Je bent je bewust dat wat je doet op die chinese servers illegaal is. Daar wil ik niet dat het in het topic over gaat.

Als je het gaat om de vraag wat kan ik doen om te zorgen dat mijn servers na een x aantal failed logins het source IP banned wil ik het topic een kans geven.

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

dinsdag 24 mei 2011 07:51

Acties:
  • 0Henk 'm!
  • Anoniem: 67691
  • Registratie: Oktober 2002
  • Niet online

Anoniem: 67691

Topicstarter
iisschots schreef op dinsdag 24 mei 2011 @ 07:17:
Je bent je bewust dat wat je doet op die chinese servers illegaal is. Daar wil ik niet dat het in het topic over gaat.

Als je het gaat om de vraag wat kan ik doen om te zorgen dat mijn servers na een x aantal failed logins het source IP banned wil ik het topic een kans geven.
Dat is precies waar het over gaat. Die chinese servers zijn lege 2003 enterprise servers in het chinees, daar heb ik verder weinig lol aan. Als ik een manier zocht om zelf te bruteforcen, had ik dit verhaal wel in andere vorm op een hackforum gezet. Ik zoek alleen al tijden een manier om brute force aanvallen te stoppen en toch port 3389 open te houden. Nu lossen we het met PPTP VPN's op, maar soms heb je een netwerk met heel veel gebruikers op heel veel locaties die je zomaar niet even overzet. 3389 beveiligen tijdelijk kan dan een uitkomst zijn.
Zelfs in firewalls heb ik nog niet zoiets gezien en de account lockout policy zorgt voor users die locked zijn omdat hun gebruikersnaam in de dictionary stond.

Wat hebben die chinezen dat ik niet heb :)

dinsdag 24 mei 2011 20:30

Acties:
  • 0Henk 'm!
  • LuckY
  • Registratie: December 2007
  • Niet online

LuckY

een GPO die de lockout policy zet? hun local/domain administrator account gerenamed?

dinsdag 24 mei 2011 20:34

Acties:
  • 0Henk 'm!
  • fonsoy
  • Registratie: Juli 2009
  • Laatst online: 12:36

fonsoy

LuckY schreef op dinsdag 24 mei 2011 @ 20:30:
een GPO die de lockout policy zet? hun local/domain administrator account gerenamed?
Dat is een heel slechte oplossing. Een kwaadaardige DOSser kan zo de administrator account continue locked houden.

Lenovo W520 - i7 2720QM - 8GB DDR3 1333Mhz - 1080p - Nvidia 1000M - 9 cell accu

dinsdag 24 mei 2011 20:42

Acties:
  • 0Henk 'm!
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 06:31

Zwelgje

waarschijnlijk gebruiken ze dit om de boel te beveiligen op RDP niveau

http://www.2x.com/securerdp/

gratis ook nog :P

A wise man's life is based around fuck you

dinsdag 24 mei 2011 20:45

Acties:
  • 0Henk 'm!
  • RaZ
  • Registratie: November 2000
  • Niet online

RaZ

Huuu peerd

fonsoy schreef op dinsdag 24 mei 2011 @ 20:34:
[...]

Dat is een heel slechte oplossing. Een kwaadaardige DOSser kan zo de administrator account continue locked houden.
Nee, dat zie je verkeerd. Administrator gewoon renamen, en een nieuwe user Administrator maken, zonder rechten.

Een mummy uit z'n verband trekken is nooit grappig.
Een Napster t-shirt aantrekken voor het concert van Metallica is nooit grappig.

dinsdag 24 mei 2011 21:08

Acties:
  • 0Henk 'm!
  • Hennie-M
  • Registratie: December 2000
  • Nu online

Hennie-M

RaZ schreef op dinsdag 24 mei 2011 @ 20:45:
[...]

Nee, dat zie je verkeerd. Administrator gewoon renamen, en een nieuwe user Administrator maken, zonder rechten.
Dit is een microsoft best practise: http://technet.microsoft..../cc747353%28WS.10%29.aspx

woensdag 25 mei 2011 09:32

Acties:
  • 0Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Maar wel een outdated versie (SBS2003?).

Bovendien: een well known sid die op -500 eindigt. Beter delegeer je de privileges naar een andere nieuwe account en disable je de Administrator account.

renamen is zooooo 2005, en niet afdoende (security by obscurity).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 26 mei 2011 13:30

Acties:
  • 0Henk 'm!
  • Anoniem: 67691
  • Registratie: Oktober 2002
  • Niet online

Anoniem: 67691

Topicstarter
Powershell schreef op dinsdag 24 mei 2011 @ 20:42:
waarschijnlijk gebruiken ze dit om de boel te beveiligen op RDP niveau

http://www.2x.com/securerdp/

gratis ook nog :P
Van de site: "Computers that do not meet the filter restrictions don't get to see the logon screen and won't get to try a brute force logon"

Ik krijg echter gewoon het inlogscherm te zien en ik kan handmatig gewoon blijven proberen.
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee