Bonjour,
je loue un serveur dédié Windows Hyper-V Server 2012 R2 (64bits) chez kimsufi. Si j'ai bien compris le forum d'aide a été transféré ici ?
J'avais depuis quelques temps des problèmes pour me connecter via le bureau à distance Windows, la connexion échouait 9 fois sur 10.
En faisant par hasard un netstat -a je pense avoir compris : il y avait bien 40 tentatives de connexions sur le port tcp 3389 (celui du bureau à distance windows) depuis des IP commençant par 45 , par 92, ou par 185. Après vérification ce sont toutes des IP russes.
Je vais tenter de rajouter une règle parefeu pour bloquer cela. Auriez-vous d'autres suggestions ?
Tentatives de hacking depuis ip russe
Sujets apparentés
- Serveurs OVH blacklistés UCEPROTECT-Level 3
11345
12.04.2021 15:23
- Solution de streaming live
9350
25.08.2017 18:35
- Mon serveur n'est pas en ssl
8354
21.06.2017 15:35
- [Résolu] Problème de connexion à un dédié
7658
15.12.2018 17:42
- Conseil Soft Raid vs Hard Raid
6693
13.04.2017 08:49
- SoftRaid 3x2To SATA ?
6470
03.01.2019 07:18
- Proxmox ou VMWare ?
6108
02.03.2017 22:04
- Proxmox ip failover problème reseau vers orange
5778
30.11.2020 19:21
- Serveur crash avec ip failover
5554
11.09.2019 14:57
- Dédié serveur Email --> Hotmail en SPAM ? je veux comprendre
5324
08.04.2017 13:20
Bonjour,
1) vous pouvez faire que le service RDP "écoute" sur un autre port que 3389. Ca va déjà arrêter 99% des attaques qui sont automatisées.
2) hélas vous êtes sous Windows et non Linux, donc on oublie fail2ban et ce qui y ressemblerait.
3) attention à vos règles parefeu: si un jour vous n'avez plus accès parce que votre FAI vous a donné une nouvelle adresse IP ne venez pas pleurer ici. D'autant plus que le mode rescue d'une machine Windows... (no comment)
4) idéalement il faudrait installer un service VPN et ne pas exposer RDP sur internet...
Je n'ai encore rien fait, je réfléchis là.
La plage des IP russes est étendue comme un gruyère, cela me semble difficile à exploiter.
Déjà j'ai un mot de passe assez long donc c'est déjà une sécurité aussi.
ils font vraiment tourner leur bots d'attaque à plein régime : chaque fois que je fais un netstat -a je vois des autres ips et des autres ports. Assez incroyable.
C:\> netstat -a
Active Connections
Proto Local Address Foreign Address State
...
TCP :3389 45.134.26.10:49198 CLOSE_WAIT
TCP :3389 45.134.26.13:42938 CLOSE_WAIT
TCP :3389 45.134.26.16:43120 CLOSE_WAIT
TCP :3389 45.134.26.23:53278 CLOSE_WAIT
TCP :3389 45.134.26.25:49132 CLOSE_WAIT
TCP :3389 45.134.26.27:47996 CLOSE_WAIT
TCP :3389 45.134.26.27:53448 CLOSE_WAIT
TCP :3389 45.134.26.28:50568 CLOSE_WAIT
TCP :3389 45.134.26.29:52358 CLOSE_WAIT
TCP :3389 45.134.26.149:56440 CLOSE_WAIT
TCP :3389 45.145.64.113:38498 SYN_RECEIVED
TCP :3389 45.145.65.13:44370 CLOSE_WAIT
TCP :3389 45.145.65.15:41636 SYN_RECEIVED
TCP :3389 45.146.164.16:35166 CLOSE_WAIT
TCP :3389 45.146.164.16:49372 CLOSE_WAIT
TCP :3389 45.146.164.29:42484 ESTABLISHED
TCP :3389 45.146.164.29:42882 CLOSE_WAIT
TCP :3389 45.146.164.31:45648 CLOSE_WAIT
TCP :3389 45.146.164.31:60964 CLOSE_WAIT
TCP :3389 45.146.164.32:38594 CLOSE_WAIT
TCP :3389 45.146.164.32:55068 CLOSE_WAIT
TCP :3389 45.146.164.40:55638 CLOSE_WAIT
TCP :3389 45.146.164.64:60682 CLOSE_WAIT
TCP :3389 45.146.164.66:56856 CLOSE_WAIT
TCP :3389 45.146.164.71:40696 CLOSE_WAIT
TCP :3389 45.146.164.72:33462 CLOSE_WAIT
TCP :3389 45.155.204.75:37424 CLOSE_WAIT
TCP :3389 45.155.204.80:48496 CLOSE_WAIT
TCP :3389 45.155.204.110:52036 CLOSE_WAIT
TCP :3389 45.155.204.114:53446 CLOSE_WAIT
TCP :3389 45.155.204.116:45806 CLOSE_WAIT
TCP :3389 45.155.204.119:57532 CLOSE_WAIT
TCP :3389 45.155.204.142:46094 CLOSE_WAIT
TCP :3389 45.155.204.146:56172 CLOSE_WAIT
TCP :3389 45.155.205.12:37894 CLOSE_WAIT
TCP :3389 45.155.205.16:44058 CLOSE_WAIT
TCP :3389 45.155.205.16:46978 CLOSE_WAIT
TCP :3389 45.155.205.16:49276 CLOSE_WAIT
TCP :3389 45.155.205.18:53720 CLOSE_WAIT
TCP :3389 45.155.205.19:46452 CLOSE_WAIT
TCP :3389 45.155.205.19:50352 CLOSE_WAIT
TCP :3389 45.155.205.20:37480 CLOSE_WAIT
TCP :3389 45.155.205.35:35786 CLOSE_WAIT
TCP :3389 45.155.205.35:58070 CLOSE_WAIT
TCP :3389 45.155.205.132:55746 CLOSE_WAIT
TCP :3389 45.155.205.134:47870 CLOSE_WAIT
TCP :3389 45.155.205.139:46716 CLOSE_WAIT
TCP :3389 45.155.205.139:55216 CLOSE_WAIT
TCP :3389 45.155.205.202:34316 CLOSE_WAIT
TCP :3389 92.255.85.154:54320 CLOSE_WAIT
TCP :3389 92.255.85.166:56884 CLOSE_WAIT
TCP :3389 92.255.85.169:44222 CLOSE_WAIT
TCP :3389 92.255.85.170:44736 CLOSE_WAIT
TCP :3389 92.255.85.171:43556 CLOSE_WAIT
TCP :3389 92.255.85.172:45354 CLOSE_WAIT
TCP :3389 92.255.85.177:42484 CLOSE_WAIT
TCP :3389 92.255.85.177:56186 CLOSE_WAIT
TCP :3389 92.255.85.180:50028 CLOSE_WAIT
TCP :3389 92.255.85.181:50378 CLOSE_WAIT
TCP :3389 92.255.85.181:56818 CLOSE_WAIT
TCP :3389 92.255.85.188:51322 CLOSE_WAIT
TCP :3389 185.156.72.46:40316 ESTABLISHED
TCP :3389 185.156.72.46:54860 CLOSE_WAIT
TCP :3389 185.156.72.47:51008 CLOSE_WAIT
TCP :3389 185.156.74.5:34042 CLOSE_WAIT
TCP :3389 185.156.74.5:42684 CLOSE_WAIT
TCP :3389 185.156.74.5:54556 CLOSE_WAIT
TCP :3389 185.156.74.8:58732 CLOSE_WAIT
TCP :3389 185.156.74.12:44390 CLOSE_WAIT
TCP :3389 185.156.74.14:39942 CLOSE_WAIT
TCP :3389 185.156.74.14:52072 CLOSE_WAIT
TCP :3389 185.156.74.20:44620 CLOSE_WAIT
TCP :3389 185.156.74.21:45020 CLOSE_WAIT
TCP :3389 185.156.74.24:56144 CLOSE_WAIT
TCP :3389 185.156.74.28:46338 CLOSE_WAIT
TCP :3389 185.156.74.28:59114 CLOSE_WAIT
TCP :3389 185.156.74.32:39350 CLOSE_WAIT
TCP :3389 185.156.74.32:44216 CLOSE_WAIT
TCP :3389 185.156.74.39:45956 CLOSE_WAIT
TCP :3389 185.193.88.12:60818 SYN_RECEIVED
TCP :3389 185.193.88.35:34484 CLOSE_WAIT
TCP :3389 185.193.88.65:50628 CLOSE_WAIT
TCP :3389 185.193.88.68:44780 CLOSE_WAIT
TCP :3389 185.193.88.68:44874 CLOSE_WAIT
TCP :3389 185.193.88.70:33352 CLOSE_WAIT
TCP :3389 185.193.88.74:54912 CLOSE_WAIT
TCP :3389 185.193.88.77:59322 CLOSE_WAIT
TCP :3389 185.193.88.82:42794 CLOSE_WAIT
TCP :3389 185.193.88.82:49704 CLOSE_WAIT
TCP :3389 185.193.88.82:56380 CLOSE_WAIT
TCP :3389 185.193.88.88:58414 CLOSE_WAIT
TCP :3389 185.193.88.89:60166 CLOSE_WAIT
TCP :3389 185.193.88.90:47534 CLOSE_WAIT
TCP :3389 185.193.88.91:39308 CLOSE_WAIT
TCP :3389 185.193.88.92:41768 CLOSE_WAIT
TCP :3389 185.193.88.93:36122 CLOSE_WAIT
TCP :3389 185.193.88.99:49322 CLOSE_WAIT
TCP :3389 185.193.88.100:54888 CLOSE_WAIT
TCP :3389 185.193.88.104:33780 CLOSE_WAIT
TCP :3389 185.193.88.105:33514 CLOSE_WAIT
TCP :3389 185.193.88.107:38026 CLOSE_WAIT
TCP :3389 185.193.88.107:44750 CLOSE_WAIT
TCP :3389 185.193.88.108:41940 CLOSE_WAIT
TCP :3389 185.193.88.118:60082 CLOSE_WAIT
TCP :3389 185.193.88.120:38166 CLOSE_WAIT
..
voilà j'ai lancé ces 9 commandes et ça les bloque bien, netstat -a est vide.
netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=45.134.26.0-45.134.26.255
netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=45.145.64.0-45.145.65.255
netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=45.146.164.0-45.146.165.255
netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=45.155.204.0-45.155.204.255
netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=45.155.205.0-45.155.205.255
netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=92.255.85.0-92.255.85.255
netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=185.156.72.0-185.156.72.255
netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=185.156.74.0-185.156.74.255
netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=185.193.88.0-185.193.88.255
Sous linux il y a IPSET qui permet de bannir facilement des pays ou ASN complet.
Peut être qu'il existe un équivalent sous Windows ?
j'avais trouvé ce site https://inlanddiscovery.com/?p=369 qui proposait des listes d'ip par pays, mais les liens semblent morts. En outre, bon je n'ai pas vérifié à 100%, mais en parcourant les IP il me semble qu'une des IP venait de Hollande mais appartenait à une compagnie Russie. Si quelqu'un a plus de temps libre il peut revérifier les IP de la liste ci-dessus.
Il y a surtout 3 pays qui attaquent je crois, la russie, la chine et l'iran. J'avais un compte hotmail chez Microsoft et il existe une option pour voir toutes les tentatives d'intrusion, ça venait généralement d'un des trois.
Un ami vient de me donner ce lien https://isc.sans.edu/port.html?port=3389
Ce site répertorie toutes les IP qui scannent le port 3389, et apparemment ils changent tous les jours d'IP. Donc ce n'est pas fini.
Bonjour,
Perso il y a 3 règles avec un WS :
1- ne pas l'exposer en directe sur internet
2- si des connexion extérieur sont possible (car exposé sur internet) => mise à jour obligatoire chaque mois, sans attendre même si c'est pour se choper les KB foireux
3- utiliser un mdp robuste (16 caractères stricte minium).
Cordialement, janus57
Bonjour,
j'ai de nouveau une nuée de bots qui tentent de se connecter sur mon serveur Windows. J'ai mis un mot de passe long et complexe mais c'est tout de même embêtant d'avoir ce trafic de fond,donc j'ai fini par changer le port d'écoute.
Si ça peut servir à d'autres personnes voici comment faire :
Pour Windows Hyper-V Server 2012 R2 (64bits) :
Suivez ces étapes pour modifier le port 3389 du Service de Bureau À Distance
sans devoir redémarrer la machine !
Ouvrez L’Éditeur du Registre en cliquant sur le bouton Démarrer,
tapez regedit puis appuyez sur Entrée,
Dans L’éditeur de Registre, accédez à
HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Control, Terminal Server, WinStations et RDP-Tcp.
PortNumber
faites un clic droit sur le numéro de port dword et sélectionnez Modifier.
Changez la base en décimal et entrez un nouveau port entre 1025 et 65535 qui n’est pas déjà utilisé.
3389 -> 3390
cliquez sur OK
Autoriser ce port dans le parefeu:
netsh advfirewall firewall add rule name="TCP Port 3390" dir=in action=allow protocol=TCP localport=3390
Redémarrer le service bureau à distance :
stop UmRdpService (port redirector, doit être arrêté AVANT TermService car dépendance)
restart TermService (va redémarrer aussi UmRdpService)
Se connecter sur le client partage de bureau en ajoutant le port à la fin
xxx.xxx.xxx.xxx:3390
Syspeace est un logiciel qui marche bien pour nos serveurs Windows, c'est payant, compter environ 25 € par serveur et par an.