Attacco Desktop Remoto ?!?

overjet · 13-12-2017, 19:09

Salve a tutti,

ho un pc con Windows 7 ultimate 64 bit.

E' abilitato il servizio desktop remoto sulla porta standard.

Durante la notte noto che ci sono dei tentativi di connessioni in entrata proveniente da un ip (visualizzato in chiaro sul registro del terminalservices) che prova ad accedere loggandosi con diversi username ripetutamente tra cui:
administrator admin user user1 test user2 test1 user3 admin1 user4 user5 actuser admin2 adm test2 test3 server 1 guest aspnet sys support console 123 root backup david sql a john support_388945a0 owner

il tutto eseguito in trenta minuti durante la notte.

Cosa può essere ?!? Scansione di un bot ?!?

C'è modo di prevenirla ?!? Può causare danni ?!?

Eventuali contromisure da adottare ?!?

Grazie.

overjet · 14-12-2017, 08:09

Esattamente.

Comunque guardando questo articolo ho notato che c'è la possibilità di impostare la porta standard 3389 come stealth impostando delle limitazioni nel firewall di Windows ovvero permettere la connessione a desktop remoto solo ad alcuni ip ( ma ciò implica avere un ip statico) oppure indicare solo i nomi pc che possono collegarsi in desktop remoto.
Fatte queste modifiche effettivamente la porta scansionandola risulta stealth.

Il problema è che provando ad inserire ad esempio un ip interno alla lan ad esempio 192.168.0.3 come il solo che possa connettersi al server remoto non funziona e non riesco più a connettermi.

overjet · 19-12-2017, 16:33

Altrimenti una soluzione potrebbe essere impostare la porta come stealth ?!?

Grazie.

overjet · 21-12-2017, 08:05

In che modo è possibile settare una porta come stealth ?!?

13-12-2017, 19:09	#1
overjet Senior Member Iscritto dal: Sep 2004 Messaggi: 9268	Attacco Desktop Remoto ?!? Salve a tutti, ho un pc con Windows 7 ultimate 64 bit. E' abilitato il servizio desktop remoto sulla porta standard. Durante la notte noto che ci sono dei tentativi di connessioni in entrata proveniente da un ip (visualizzato in chiaro sul registro del terminalservices) che prova ad accedere loggandosi con diversi username ripetutamente tra cui: administrator admin user user1 test user2 test1 user3 admin1 user4 user5 actuser admin2 adm test2 test3 server 1 guest aspnet sys support console 123 root backup david sql a john support_388945a0 owner il tutto eseguito in trenta minuti durante la notte. Cosa può essere ?!? Scansione di un bot ?!? C'è modo di prevenirla ?!? Può causare danni ?!? Eventuali contromisure da adottare ?!? Grazie. __________________ Case:CM Stacker Ali:Silverstone Zeus 650W Mobo:Asus P5Q-Deluxe Bios 1406 Cpu:Intel E8600 Cooling:Cpu: Noctua NH-U12F Ram:Corsair Dominator 2x2Gb Pc8500 C5DF Scheda Video:Asus Gtx-280 Hardisk:WD Raptor 74Gb - WD 1Tb - Barracuda 500Gb - Hitachi 1Tb Monitor:Samsung SM2232BW

14-12-2017, 08:09	#2
overjet Senior Member Iscritto dal: Sep 2004 Messaggi: 9268	Esattamente. Comunque guardando questo articolo ho notato che c'è la possibilità di impostare la porta standard 3389 come stealth impostando delle limitazioni nel firewall di Windows ovvero permettere la connessione a desktop remoto solo ad alcuni ip ( ma ciò implica avere un ip statico) oppure indicare solo i nomi pc che possono collegarsi in desktop remoto. Fatte queste modifiche effettivamente la porta scansionandola risulta stealth. Il problema è che provando ad inserire ad esempio un ip interno alla lan ad esempio 192.168.0.3 come il solo che possa connettersi al server remoto non funziona e non riesco più a connettermi. __________________ Case:CM Stacker Ali:Silverstone Zeus 650W Mobo:Asus P5Q-Deluxe Bios 1406 Cpu:Intel E8600 Cooling:Cpu: Noctua NH-U12F Ram:Corsair Dominator 2x2Gb Pc8500 C5DF Scheda Video:Asus Gtx-280 Hardisk:WD Raptor 74Gb - WD 1Tb - Barracuda 500Gb - Hitachi 1Tb Monitor:Samsung SM2232BW

19-12-2017, 16:33	#3
overjet Senior Member Iscritto dal: Sep 2004 Messaggi: 9268	Altrimenti una soluzione potrebbe essere impostare la porta come stealth ?!? Grazie. __________________ Case:CM Stacker Ali:Silverstone Zeus 650W Mobo:Asus P5Q-Deluxe Bios 1406 Cpu:Intel E8600 Cooling:Cpu: Noctua NH-U12F Ram:Corsair Dominator 2x2Gb Pc8500 C5DF Scheda Video:Asus Gtx-280 Hardisk:WD Raptor 74Gb - WD 1Tb - Barracuda 500Gb - Hitachi 1Tb Monitor:Samsung SM2232BW

21-12-2017, 08:05	#4
overjet Senior Member Iscritto dal: Sep 2004 Messaggi: 9268	In che modo è possibile settare una porta come stealth ?!? __________________ Case:CM Stacker Ali:Silverstone Zeus 650W Mobo:Asus P5Q-Deluxe Bios 1406 Cpu:Intel E8600 Cooling:Cpu: Noctua NH-U12F Ram:Corsair Dominator 2x2Gb Pc8500 C5DF Scheda Video:Asus Gtx-280 Hardisk:WD Raptor 74Gb - WD 1Tb - Barracuda 500Gb - Hitachi 1Tb Monitor:Samsung SM2232BW

Strumenti
Mostra una versione stampabile Invia questa pagina per email