疑似遭受遠端攻擊

遠端密碼攻擊

wendy20501 2014-08-28 10:05:56 ‧ 10958 瀏覽

分享至

不好意思, 我超新手~
server事件簿一直出現以下訊息:

事件類型: 資訊
事件來源: TermService
事件類別目錄: 無
事件識別碼: 1012
日期: 2014/8/28
時間: 上午 04:00:06
使用者: N/A
電腦: DB-AP
描述:
來自用戶端名稱 a 的遠端工作階段已超過登入嘗試失敗的最大極限。工作階段因此被迫終止。

偶爾又會出現一筆這樣的訊息....

事件類型: 警告
事件來源: RemoteAccess
事件類別目錄: 無
事件識別碼: 20189
日期: 2014/8/28
時間: 上午 01:40:41
使用者: N/A
電腦: DB-AP
描述:
由於以下原因，使用者 admin 由 218.76.152.253 連線，但嘗試驗證時失敗: 使用了不明的使用者名稱或不正確的密碼，因此驗證並未成功。

事件類型: 錯誤
事件來源: TermDD
事件類別目錄: 無
事件識別碼: 50
日期: 2014/8/27
時間: 下午 09:26:31
使用者: N/A
電腦: DB-AP
描述:
RDP 通訊協定元件 X.224 偵測出通訊協定串流中有錯誤，已經中斷用戶端連線。

那個ip是中國大陸的...我判斷是遭人遠端攻擊了, 一直要try server的密碼!!
但我除了改密碼外還有別的方式可以阻止他嗎? 謝謝

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

u8526425

iT邦大師 1 級 ‧ 2014-08-28 10:11:43

最佳解答

IP擋不完的

沒事不要開RDP到外面
開放RDP可以改port並限定連線IP
改由透過VPN來連RDP

回應
分享
檢舉

登入發表回應

enen1980

iT邦研究生 1 級 ‧ 2014-08-29 09:50:44

1.) PORT FORWARD~~可在本機改或在FIREWALL 改
本機 REGISTRY KEY
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber

2.) 在FIREWALL BLOCK 218.76.152.253, 但如 U8526425所說, 你要經常MONITOR....

回應
分享
檢舉

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22199 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙

疑似遭受遠端攻擊

不好意思, 我超新手~ server事件簿一直出現以下訊息:

事件類型: 資訊 事件來源: TermService 事件類別目錄: 無 事件識別碼: 1012 日期: 2014/8/28 時間: 上午 04:00:06 使用者: N/A 電腦: DB-AP 描述: 來自用戶端名稱 a 的遠端工作階段已超過登入嘗試失敗的最大極限。工作階段因此被迫終止。