Windows RDP自体にログインしていますか?
開いているポートにRDPが必要なコンピューターシステムがあります(もちろん、これに対抗しました)。驚異的に機能するRDPGuardを介してこれを確保しました。とにかく、数週間後、それらのRDPログを確認すると、ループバックアドレス127.0.0.1またはサーバーの実際の外部IPアドレスから発信されたRDPログイン試行が見られます
ログインしようとしているユーザーはSERVER $であり、実際にそこから成功レポートのログも受け取りました。これは実際にはWindowsの通常の動作ですか、それとも私はただ驚かされましたか?
いいえ、これは正常な動作ではありません。ほとんどの場合、サーバーが危険にさらされており、接続をRDPサーバーに転送するバックドアがインストールされています。 RDPポート自体がインターネットに公開されており、別のポートからの転送はそれほど役に立ちません(接続を少しだけ隠します)。
私はバックドアを見つけようとするので、サーバーが実際に侵害されていることを示す証拠があり、サーバーをワイプして再インストールし、エクスペリエンスを使用してRDPが公開されていないことを確認します。誰かが本当に社外からそのサーバーにRDPする必要がある場合は、VPNを介して保護する必要があります。ログの侵害に気づかなかった場合、最初に気付くのは、サーバーがランサムウェアに遭遇したときです。または、その内部情報がそこから漏えいしました(実際、彼らはすでにそうしていることを知っています...)。
それを改善する幸運