iT邦幫忙

0

疑似遭受遠端攻擊

不好意思, 我超新手~疑惑
server事件簿一直出現以下訊息:

事件類型: 資訊
事件來源: TermService
事件類別目錄: 無
事件識別碼: 1012
日期: 2014/8/28
時間: 上午 04:00:06
使用者: N/A
電腦: DB-AP
描述:
來自用戶端名稱 a 的遠端工作階段已超過登入嘗試失敗的最大極限。工作階段因此被迫終止。

偶爾又會出現一筆這樣的訊息....

事件類型: 警告
事件來源: RemoteAccess
事件類別目錄: 無
事件識別碼: 20189
日期: 2014/8/28
時間: 上午 01:40:41
使用者: N/A
電腦: DB-AP
描述:
由於以下原因,使用者 admin 由 218.76.152.253 連線,但嘗試驗證時失敗: 使用了不明的使用者名稱或不正確的密碼,因此驗證並未成功。

事件類型: 錯誤
事件來源: TermDD
事件類別目錄: 無
事件識別碼: 50
日期: 2014/8/27
時間: 下午 09:26:31
使用者: N/A
電腦: DB-AP
描述:
RDP 通訊協定元件 X.224 偵測出通訊協定串流中有錯誤,已經中斷用戶端連線。

那個ip是中國大陸的...我判斷是遭人遠端攻擊了, 一直要try server的密碼!!
但我除了改密碼外還有別的方式可以阻止他嗎? 謝謝

2 個回答

19
u8526425
iT邦大師 1 級 ‧ 2014-08-28 10:11:43
最佳解答

IP擋不完的

  1. 沒事不要開RDP到外面
  2. 開放RDP可以改port並限定連線IP
  3. 改由透過VPN來連RDP
3
enen1980
iT邦研究生 1 級 ‧ 2014-08-29 09:50:44

1.) PORT FORWARD~~可在本機改或在FIREWALL 改
本機 REGISTRY KEY
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber

2.) 在FIREWALL BLOCK 218.76.152.253, 但如 U8526425所說, 你要經常MONITOR....

我要發表回答

立即登入回答