Rdp

網路威脅防護

  • January 31, 2021

今天,我的數據庫伺服器意外重啟。查了一下,發現從12月初就收到了這個事件,Network Threat Protection Event。這是活動

Object detected.

Object name: 64.76.157.3:51747 (different IP every time).
Object type: N/A.
Severity level: high.
Certainty level: complete signature match.
Detected object type: network attack.
Detected: Bruteforce.Generic.Rdp.d.
Task name: Network Threat Protection.
User name: N/A.
Computer name: DB01.
Process: 192.168.0.11:3389.
PID: 6.

該伺服器是 5 個伺服器的一部分,它們具有相同的公共 IP,每個伺服器都有不同的埠,所有伺服器都收到了事件。所以,我的問題是:攻擊者是否必須知道公共 IP 才能進行攻擊?我怎樣才能知道攻擊的來源?另外,由於我沒有防火牆設備,我是否需要放置防火牆設備。
活動圖片

如果您將 RDP 公開到 Internet,則預計會出現這種消息。是時候斷開 RDP 與網際網路的連接了,因為網路犯罪分子積極利用 RDP 來攻擊遠端組織攻擊者正在尋找暴露的 RDP 伺服器狼已經在你家門口,而且在 COVID-19 大流行期間對網際網路暴露的 RDP 伺服器的攻擊也在激增. 我認為您開始了解RDP 的安全風險。不要暴露 RDP!

通常數據庫伺服器也不直接連接到 Internet,除非明確需要直接訪問;可能有單獨的應用程序伺服器是數據庫伺服器的客戶端,並且可以將數據庫訪問限制在這些伺服器上。如果數據庫在同一台伺服器上,則可以通過本地環回等方式訪問。這種訪問控制將強化您的基礎架構並提高其整體安全性。

引用自:https://serverfault.com/questions/1051815