6,850
社区成员
发帖
与我相关
我的任务
分享windows server每天被人暴力破解RDP,求解
2台服务器
1台是阿里云WINDOWS SERVER 2012,开了rdp3389,但是阿里云做了端口转发,3389转发到外网就是另一个端口号,比如3333,但是每天有无数个暴力破解RDP的审核,,,,3333怎么变更,1天内依旧被盯上,于是又是一群暴力破解。
另1台服务器WINDOWS SERVER 2019,是一台虚拟机,在硬件防火墙后面,同理,开了RDP 3389,硬件防火墙把3389外网映射成12345,但是每天有无数个暴力破解RDP的审核,,,,,,,,,,跟阿里云的情况一模一样。
求解,这群人怎么知道,我的某个自己设定的端口号,其实是个RDP端口,以及,,,,有什么办法可以让对方不盯上吗?
1台是阿里云WINDOWS SERVER 2012,开了rdp3389,但是阿里云做了端口转发,3389转发到外网就是另一个端口号,比如3333,但是每天有无数个暴力破解RDP的审核,,,,3333怎么变更,1天内依旧被盯上,于是又是一群暴力破解。
另1台服务器WINDOWS SERVER 2019,是一台虚拟机,在硬件防火墙后面,同理,开了RDP 3389,硬件防火墙把3389外网映射成12345,但是每天有无数个暴力破解RDP的审核,,,,,,,,,,跟阿里云的情况一模一样。
求解,这群人怎么知道,我的某个自己设定的端口号,其实是个RDP端口,以及,,,,有什么办法可以让对方不盯上吗?
...全文
请发表友善的回复…
发表回复
qishine 版主 2021-05-14
- 打赏
- 举报
阿里云的安全组加公网白名单。
或者配置账户锁定策略,输错密码10次,锁定10分钟就能很好的保护自己
Blue_sky90 2021-04-25
- 打赏
- 举报
自己写个Credential 替掉windows的登录认证,加一层第三方认证。
qq_39936465 2021-04-25
- 打赏
- 举报
需要专业防火墙,靠服务器本身防火墙是不行的。
yolyry 2021-04-20
- 打赏
- 举报
方法一:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
修改"PortNumber"的端口号,就能改了,一般来讲,不要对外使用默认的端口,否则此类问题会很多
方法二:
开启防火墙,配置下策略,限制下访问域电脑
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
修改"PortNumber"的端口号,就能改了,一般来讲,不要对外使用默认的端口,否则此类问题会很多
方法二:
开启防火墙,配置下策略,限制下访问域电脑
kiri2589 2021-04-15
- 打赏
- 举报
这要是远程控制的IP没有固定IP这可咋整?
redlz2500 2021-04-15
- 打赏
- 举报
试下写个脚本,买个域名,动态修正域名映射的ip添加到允许
duanjing1 2021-03-03
- 打赏
- 举报
我们一般开rdp也是在服务器防火墙上开 或者 在端口映射的服务器上做IP限制 把只能登录的IP短添加进来 别的ip压根就不在白名单之内 直接拒了 外加在服务器上添加登录三次失败自动锁定半小时的 这样他 暴力破解 一辈子也破不开
duanjing1 2021-03-03
- 打赏
- 举报
我们一般开rdp也是在服务器防火墙上开 或者 在端口映射的服务器上做IP限制 把只能登录的IP短添加进来 别的ip压根就不在白名单之内 直接拒了
RRRobet童鞋 2021-02-18
- 打赏
- 举报
我的阿里云服务器也遇到这种情况 ,请问后续是如何解决的,谢谢
BT4K 2020-11-19
- 打赏
- 举报
网络安全形势很严峻的,所以想要没问题,还是得靠阿里云的付费版本防火墙
neell 2020-11-06
- 打赏
- 举报
唉,,,我发现了,啥都不好使。我自己非固定IP家里电脑上开了个虚拟机,也装了个WINDOWS SERVER 2019,开了个RDP,通过路由器端口映射到外网的某个非3389的端口,我就开着什么事都不做,过了1周,查服务器事件,发现了一大堆的暴力破解,,,,唉,,,,
Yofoo 2020-10-30
- 打赏
- 举报
端口扫描是可以按协议分析的, 建议把端口号改大些, 一般端口扫描扫的是常用和比较小的端口, 把使用的端口改到40000以上可以避开多数扫描工具
还有个可能是服务器中网段有机器已经中木马, 如果那边开启了网络嗅探, 你用什么端口他都知道的
ncnc111 2020-10-29
- 打赏
- 举报
D_Safe_Manage - 了解一下
songwenze 2020-10-27
- 打赏
- 举报
关于阿里云的服务器,你可以到阿里云控制后台上 设置可远程访问的IP地址。
wisewoman 2020-10-22
- 打赏
- 举报
开了服务就会被扫,例如80,443,21啥的,简单点,装个安全狗之类的软件就可以了,最好还是不开RDP,非要开也应该限IPnettman 2020-10-13
- 打赏
- 举报
感谢分享!
X-i-n 2020-10-13
- 打赏
- 举报
1. windows防火墙策略和硬件防火墙的策略会取更严格的交集决定是否开放,所以添加到windows意义不大只是你的臆想;
2. 端口扫描获取所有开放端口,列出端口以后直接远程桌面连一下就能判断出来是不是远程桌面服务;
3. 如果想把IP添加到硬防的策略里,可以考虑http client去模拟网页请求,或者通过ssh/console会话连接CLI。
上面发的文章有点问题,没有通过事件通知来触发屏蔽动作,所以滞后严重,改进的做法可以参考下面的链接:
防暴策略建立的思路与具体实现(Windows 远程桌面 - part1):https://mp.weixin.qq.com/s/ZUoxMvUstOvG9jXjOJbE7Q
防暴策略建立的思路与具体实现(Windows 远程桌面 - part2):
https://mp.weixin.qq.com/s/mP6CeHJJ7JKbKV47X_3bNQ
防暴策略建立的思路与具体实现(Windows 远程桌面 - 源代码):
https://mp.weixin.qq.com/s/VG4jE1i6ZATol7pzR2eguw
防暴策略建立的思路与具体实现(Linux + Fail2ban:SSH、nginx):
https://mp.weixin.qq.com/s/85ZDCAJh3Ob_MJthCZpHJA
neell 2020-10-13
- 打赏
- 举报
唉,,,你这个是添加到WINDOWS的防火墙里,对我这边而言,意义不大啊。如果能添加到我硬件防火墙(路由器)的IP黑名单里,那还有点意义。
我的想法是,谁能知道,对方是如何得知我开的3333的端口,其实是3389的映射,如果能知道原理,我还能想对策。现在连原理都不知道,,,唉,,,脑壳疼啊。
neell 2020-10-12
- 打赏
- 举报
那对方是怎样知道我的3333端口其实是3389呢,端口扫描的话,应该只知道我开着3333端口啊。而且我那台本地的2019,其实是个虚拟机,同时还有个WIN7的虚拟机,WIN7的RDP也开着,只不过是映射为另一个数字而已,但是WIN7的,就压根没人破解。 如果都是某种端口扫描发现的RDP的话,那岂不是应该都在遭受破解嘛。当然,我也知道,能看得出服务器用什么系统,WIN7人就懒得碰,但是我觉得貌似这个概率不高啊。
X-i-n 2020-10-12
- 打赏
- 举报
加载更多回复(1)
