iT邦幫忙

0

伺服器遭駭客遠端入侵處置方式

server windows server windows server 2008r2 #資安 駭客
jasongojason 2021-06-05 09:56:123329 瀏覽

  • 分享至 

  • xImage

各位前輩,請問伺服器遇到國外駭客遠端連線的處置方式?
如下圖,server 2008 log ,事件識別碼 :20271
https://ithelp.ithome.com.tw/upload/images/20210605/2013571950WJUaYu6x.jpg

japhenchen iT邦超人 1 級 ‧ 2021-06-05 11:02:14 檢舉
消極的做法用防火牆讓3389鎖IP,所有在家工作的都要用固定IP登入或VPN,不安全的作業系統版本該換就換
jasongojason iT邦新手 4 級 ‧ 2021-06-06 11:01:29 檢舉
https://www.ithome.com.tw/news/135234
企業Windows RDP伺服器管控不當,恐被駭客用來放大DDoS攻擊
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

3 個回答

0
mytiny
iT邦超人 1 級 ‧ 2021-06-05 14:07:24

先提供樓主以下新聞資料
微軟:RDP暴力破解平均持續2-3天,成功率不低

按樓主提供的資訊
表示樓主有將主機直接暴露在Internet,導致暴力攻擊不斷
建議樓主盡快處理
防火牆關閉所有直接暴露internet主機對外IP
改用其他如 SSLVPN 等方式登入才能連主機
如果有公司的同仁不習慣這種方式
請先報告老闆可能會有被綁架病毒等相關攻擊的風險
導致疫情期間整個公司停擺
先撇清MIS的責任,以免日後背鍋

至於WFH或其他VPN登入方式
請自行至G大神進行搜索

看更多先前的回應...收起先前的回應...
jasongojason iT邦新手 4 級 ‧ 2021-06-05 15:15:58 檢舉

我看IP都蠻接近的? (波蘭,俄羅斯)
請問將防火牆將入侵的IP 設為禁止,是否為可行的方法之一?

japhenchen iT邦超人 1 級 ‧ 2021-06-05 16:11:11 檢舉

jasongojason你擋不完吧,要是那些攻擊者來自於被感染者做成的跳板的話...

mytiny iT邦超人 1 級 ‧ 2021-06-05 16:39:43 檢舉

不建議樓主心存僥倖
根據以往處理過的案例
一旦被攻破,後果都很嚴重
現在疫情居家上班者眾多
很多公司便宜行事都用了這種方法處理遠端工作
殊不知錯誤的資安觀念比用錯資安產品還糟糕

切記不能把公司任何主機直接(mapping)或間接(轉port)到Internet

CyberSerge iT邦好手 1 級 ‧ 2021-06-10 00:42:39 檢舉

擋IP效果有限,會擋不完,畢竟IP可以換

登入發表回應
0
通通
iT邦新手 4 級 ‧ 2021-06-06 22:50:40
  1. 制定資訊安全規範 每個部門 每3個月要演練一次 自行製作釣魚信件等等之類的
  2. 首先server2008 已經老舊 先換成server 2019
  3. 實體防火牆因該要限制 可連入ip
  4. 導入token 登入
登入發表回應
0
loke0204
iT邦新手 2 級 ‧ 2021-06-09 13:11:36

Windows
IPBAN
https://ithelp.ithome.com.tw/articles/10226659

linux

fail2ban

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css 程式設計 react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙