RDP Bruteforce

Visualizzazione dei risultati da 1 a 8 su 8
  1. 04-12-2020, 12:37 #1
    linuxman74
    linuxman74 non è collegato
    bit
    Registrato
    Dec 2020
    Età
    50
    Messaggi
    3

    Predefinito RDP Bruteforce

    Buongiorno, è la prima volta che scrivo qui. Mi chiamo Davide, piacere di conoscervi.
    Vorrei chiedere un vostro parere.
    Su un pc accessibile in RDP, ho il fastidioso problema del bruteforce, centinaia di tentativi ogni ora da tutto il mondo.
    Il problema l'ho risolto cambiando la porta 3389 con un altra, e va bene ma la cosa che non mi spiego è.... com'è possibile????
    Il router non ha un port forward per quella porta, l'ho anche appurato con un portscan dall'esterno verso l'IP pubblico. E' tutto chiuso. Infatti io da fuori non ci riesco a raggiungere il server in RDP, e allora mi chiedo... Ma come diavolo fanno?!? E' una enorme curiosità che ho!

    Grazie a chi vorrà rispondermi.
    Rispondi quotando Rispondi quotando
  2. 04-12-2020, 13:03 #2
    Matty90
    Matty90 non è collegato
    Moderatore L'avatar di Matty90
    Registrato
    May 2006
    Località
    Zola Predosa (BO)
    Età
    34
    Messaggi
    6,390

    Predefinito

    Ciao,
    sei sicuro che i tentativi loggati siano quelli dell'RDP e non magari quelli di un altro servizio tipo FTP sulla 21 o HTTP su 80 e 8080?

    Il server è mai stato raggiungibile dall'esterno?


    WS HOME (in pensione): i7 7700k @ 5.2Ghz cooled by Custom Loop - Asus Maximus IX Apex - Asus Strix 980Ti - 16Gb Gskill TridentZ F4-3866C18 - Antec HCP 1000W Platinum - 3 x WD 500Gb (Dati) - Samsung Evo 840 (SO) - Win10 Pro x64
    WS LAB: Ryzen 2700x cooled by Corsair H100i V2 - Asus Rog Strix x370-i Gaming - 32Gb GSkill TridentZ RGB 3600Mhz - Zotac GTX1060 Mini 6GB - Thermaltake Smart Pro RGB 650W - Sabrent 1TB - MP500 NvME 250Gb come cache disk - Win10 Pro x64 - Phanteks Evolv ITX Glass --- Virtualization with Hyper-V

    My HPE MicroServer:     Configurazione e Setup
    Rispondi quotando Rispondi quotando
  3. 04-12-2020, 13:05 #3
    linuxman74
    linuxman74 non è collegato
    bit
    Registrato
    Dec 2020
    Età
    50
    Messaggi
    3

    Predefinito

    Sono più che sicuro. Parliamo di RDP sulla porta 3389.
    Il server non è mai stato raggiungibile dall'esterno.
    Rispondi quotando Rispondi quotando
  4. 04-12-2020, 13:50 #4
    frakka
    frakka non è collegato
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    44
    Messaggi
    23,431
    configurazione

    Predefinito

    Se il PC non è nattato all'esterno semplicemente non possono farlo.

    Sei sicuro che gli scan non arrivino da un PC della rete locale?
    Altrimenti ci deve essere qualcosa che fa da proxy...

    Postare uno stralcio dei log e spiegare un po' la configurazione?

    Inviato dal mio Redmi 4 Prime utilizzando Tapatalk

    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
    Rispondi quotando Rispondi quotando
  5. 04-12-2020, 14:54 #5
    linuxman74
    linuxman74 non è collegato
    bit
    Registrato
    Dec 2020
    Età
    50
    Messaggi
    3

    Predefinito

    Ti do i log di IP Ban

    La configurazione è semplice, è una piccola rete, 6 PC ed un Windows Server 2019 con RDP aperto. Il loro IP pubblico è 93.61.55.<duecentoventitre>

    Puoi verificare da te che se fai un portscan non trovi un bel niente!

    Hanno semplicemente un router Fastweb, dove non c'è alcun port Forward, quindi semplicemente non capisco come ci arrivano al server sulla 3389.

    Il problema persiste anche se i 6 PC li spengo! Inoltre tutti i PC Server compreso hanno Kaspersky, che a parte i tentativi di bruteforce su RDP non lamenta nient'altro

    Ecco i log di IP Ban

    2020-12-04 09:50:56.2919|WARN|DigitalRuby.IPBanCore.Logger|IP 93.76.71.130, Administrator, RDP ban pending.
    2020-12-04 09:50:56.3175|WARN|DigitalRuby.IPBanCore.Logger|Updating firewall with 1 entries...
    2020-12-04 09:50:56.3175|INFO|DigitalRuby.IPBanCore.Logger|Firewall entries updated: 93.76.71.130
    2020-12-04 10:15:42.9403|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 185.176.220.106, , RDP, 2
    2020-12-04 10:15:42.9403|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 185.176.220.106, Paciocco, RDP, 4
    2020-12-04 10:15:42.9403|INFO|DigitalRuby.IPBanCore.Logger|IP blacklisted: False, user name blacklisted: False, fails user name white list regex: False, user name edit distance blacklisted: False
    2020-12-04 10:15:42.9403|WARN|DigitalRuby.IPBanCore.Logger|Banning ip address: 185.176.220.106, user name: Paciocco, config black listed: False, count: 4, extra info: , duration: 1.00:00:00
    2020-12-04 10:15:42.9768|WARN|DigitalRuby.IPBanCore.Logger|Updating firewall with 1 entries...
    2020-12-04 10:15:42.9768|INFO|DigitalRuby.IPBanCore.Logger|Firewall entries updated: 185.176.220.106
    2020-12-04 10:53:15.6358|WARN|DigitalRuby.IPBanCore.Logger|Login succeeded, address: 192.168.0.59, user name: Francesco, source: RDP
    2020-12-04 11:05:46.5478|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 122.143.116.198, , RDP, 4
    2020-12-04 11:05:46.5478|INFO|DigitalRuby.IPBanCore.Logger|IP blacklisted: False, user name blacklisted: False, fails user name white list regex: False, user name edit distance blacklisted: False
    2020-12-04 11:05:46.5478|WARN|DigitalRuby.IPBanCore.Logger|Banning ip address: 122.143.116.198, user name: , config black listed: False, count: 4, extra info: , duration: 1.00:00:00
    2020-12-04 11:05:46.5478|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 122.143.116.198, PACIOCCO, RDP, 4
    2020-12-04 11:05:46.5478|INFO|DigitalRuby.IPBanCore.Logger|IP blacklisted: False, user name blacklisted: False, fails user name white list regex: False, user name edit distance blacklisted: False
    2020-12-04 11:05:46.5478|WARN|DigitalRuby.IPBanCore.Logger|IP 122.143.116.198, PACIOCCO, RDP ban pending.
    2020-12-04 11:05:46.5683|WARN|DigitalRuby.IPBanCore.Logger|Updating firewall with 1 entries...
    2020-12-04 11:05:46.5683|INFO|DigitalRuby.IPBanCore.Logger|Firewall entries updated: 122.143.116.198
    2020-12-04 11:18:17.1477|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 45.141.87.39, , RDP, 2
    2020-12-04 11:18:17.1477|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 45.141.87.39, admin, RDP, 4
    2020-12-04 11:18:17.1477|INFO|DigitalRuby.IPBanCore.Logger|IP blacklisted: False, user name blacklisted: False, fails user name white list regex: False, user name edit distance blacklisted: False
    2020-12-04 11:18:17.1477|WARN|DigitalRuby.IPBanCore.Logger|Banning ip address: 45.141.87.39, user name: admin, config black listed: False, count: 4, extra info: , duration: 1.00:00:00
    2020-12-04 11:18:17.1761|WARN|DigitalRuby.IPBanCore.Logger|Updating firewall with 1 entries...
    2020-12-04 11:18:17.1761|INFO|DigitalRuby.IPBanCore.Logger|Firewall entries updated: 45.141.87.39
    2020-12-04 11:26:17.5570|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 13.68.232.253, , RDP, 1
    2020-12-04 11:26:17.5570|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 13.68.232.253, ADMINISTRATOR, RDP, 2
    2020-12-04 11:42:33.5233|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 185.202.1.78, , RDP, 2
    2020-12-04 11:42:33.5233|WARN|DigitalRuby.IPBanCore.Logger|Login failure: 185.202.1.78, Admin, RDP, 4
    2020-12-04 11:42:33.5233|INFO|DigitalRuby.IPBanCore.Logger|IP blacklisted: False, user name blacklisted: False, fails user name white list regex: False, user name edit distance blacklisted: False
    2020-12-04 11:42:33.5233|WARN|DigitalRuby.IPBanCore.Logger|Banning ip address: 185.202.1.78, user name: Admin, config black listed: False, count: 4, extra info: , duration: 1.00:00:00
    2020-12-04 11:42:33.5586|WARN|DigitalRuby.IPBanCore.Logger|Updating firewall with 1 entries...
    2020-12-04 11:42:33.5650|INFO|DigitalRuby.IPBanCore.Logger|Firewall entries updated: 185.202.1.78
    Rispondi quotando Rispondi quotando
  6. 05-12-2020, 17:41 #6
    frakka
    frakka non è collegato
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    44
    Messaggi
    23,431
    configurazione

    Predefinito

    Originariamente inviato da linuxman74
    Ecco i log di IP Ban
    Cos'è? Non lo conosco...

    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
    Rispondi quotando Rispondi quotando
  7. 05-12-2020, 18:15 #7
    frakka
    frakka non è collegato
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    44
    Messaggi
    23,431
    configurazione

    Predefinito

    Confermo che, effettivamente, dalla scan non si vede nulla tranne le porte 22, 23, 80 e 443 anche se poi non risponde nulla.
    Potrebbero anche essere porte esposte del router Fastweb...

    Boh... Onestamente non ne ho idea.

    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
    Rispondi quotando Rispondi quotando
  8. 14-12-2020, 23:13 #8
    frakka
    frakka non è collegato
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    44
    Messaggi
    23,431
    configurazione

    Predefinito

    Per caso ne sei venuto a capo?

    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Informazioni Thread

Users Browsing this Thread

Ci sono attualmente 1 utenti che stanno visualizzando questa discussione. (0 utenti e 1 ospiti)

 Regole d'invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regolamento

Logo Nexthardware nexthardware.com - © 2002-2022