Tentatives de hacking depuis ip russe

MarkusS 2022-02-03 13:25:58 UTC #1

Bonjour,
je loue un serveur dédié Windows Hyper-V Server 2012 R2 (64bits) chez kimsufi. Si j'ai bien compris le forum d'aide a été transféré ici ?

J'avais depuis quelques temps des problèmes pour me connecter via le bureau à distance Windows, la connexion échouait 9 fois sur 10.

En faisant par hasard un netstat -a je pense avoir compris : il y avait bien 40 tentatives de connexions sur le port tcp 3389 (celui du bureau à distance windows) depuis des IP commençant par 45 , par 92, ou par 185. Après vérification ce sont toutes des IP russes.

Je vais tenter de rajouter une règle parefeu pour bloquer cela. Auriez-vous d'autres suggestions ?

Fritz2cat 2022-02-03 13:38:28 UTC #2

Bonjour,

1) vous pouvez faire que le service RDP "écoute" sur un autre port que 3389. Ca va déjà arrêter 99% des attaques qui sont automatisées.
2) hélas vous êtes sous Windows et non Linux, donc on oublie fail2ban et ce qui y ressemblerait.
3) attention à vos règles parefeu: si un jour vous n'avez plus accès parce que votre FAI vous a donné une nouvelle adresse IP ne venez pas pleurer ici. D'autant plus que le mode rescue d'une machine Windows... (no comment)
4) idéalement il faudrait installer un service VPN et ne pas exposer RDP sur internet...

MarkusS 2022-02-03 14:02:14 UTC #3

Je n'ai encore rien fait, je réfléchis là.
La plage des IP russes est étendue comme un gruyère, cela me semble difficile à exploiter.
Déjà j'ai un mot de passe assez long donc c'est déjà une sécurité aussi.

MarkusS 2022-02-03 14:02:15 UTC #4

ils font vraiment tourner leur bots d'attaque à plein régime : chaque fois que je fais un netstat -a je vois des autres ips et des autres ports. Assez incroyable.

MarkusS 2022-02-03 14:02:33 UTC #5

C:> netstat -a

Active Connections

Proto Local Address Foreign Address State
...
TCP :3389 45.134.26.10:49198 CLOSE_WAIT
TCP :3389 45.134.26.13:42938 CLOSE_WAIT
TCP :3389 45.134.26.16:43120 CLOSE_WAIT
TCP :3389 45.134.26.23:53278 CLOSE_WAIT
TCP :3389 45.134.26.25:49132 CLOSE_WAIT
TCP :3389 45.134.26.27:47996 CLOSE_WAIT
TCP :3389 45.134.26.27:53448 CLOSE_WAIT
TCP :3389 45.134.26.28:50568 CLOSE_WAIT
TCP :3389 45.134.26.29:52358 CLOSE_WAIT
TCP :3389 45.134.26.149:56440 CLOSE_WAIT
TCP :3389 45.145.64.113:38498 SYN_RECEIVED
TCP :3389 45.145.65.13:44370 CLOSE_WAIT
TCP :3389 45.145.65.15:41636 SYN_RECEIVED
TCP :3389 45.146.164.16:35166 CLOSE_WAIT
TCP :3389 45.146.164.16:49372 CLOSE_WAIT
TCP :3389 45.146.164.29:42484 ESTABLISHED
TCP :3389 45.146.164.29:42882 CLOSE_WAIT
TCP :3389 45.146.164.31:45648 CLOSE_WAIT
TCP :3389 45.146.164.31:60964 CLOSE_WAIT
TCP :3389 45.146.164.32:38594 CLOSE_WAIT
TCP :3389 45.146.164.32:55068 CLOSE_WAIT
TCP :3389 45.146.164.40:55638 CLOSE_WAIT
TCP :3389 45.146.164.64:60682 CLOSE_WAIT
TCP :3389 45.146.164.66:56856 CLOSE_WAIT
TCP :3389 45.146.164.71:40696 CLOSE_WAIT
TCP :3389 45.146.164.72:33462 CLOSE_WAIT
TCP :3389 45.155.204.75:37424 CLOSE_WAIT
TCP :3389 45.155.204.80:48496 CLOSE_WAIT
TCP :3389 45.155.204.110:52036 CLOSE_WAIT
TCP :3389 45.155.204.114:53446 CLOSE_WAIT
TCP :3389 45.155.204.116:45806 CLOSE_WAIT
TCP :3389 45.155.204.119:57532 CLOSE_WAIT
TCP :3389 45.155.204.142:46094 CLOSE_WAIT
TCP :3389 45.155.204.146:56172 CLOSE_WAIT
TCP :3389 45.155.205.12:37894 CLOSE_WAIT
TCP :3389 45.155.205.16:44058 CLOSE_WAIT
TCP :3389 45.155.205.16:46978 CLOSE_WAIT
TCP :3389 45.155.205.16:49276 CLOSE_WAIT
TCP :3389 45.155.205.18:53720 CLOSE_WAIT
TCP :3389 45.155.205.19:46452 CLOSE_WAIT
TCP :3389 45.155.205.19:50352 CLOSE_WAIT
TCP :3389 45.155.205.20:37480 CLOSE_WAIT
TCP :3389 45.155.205.35:35786 CLOSE_WAIT
TCP :3389 45.155.205.35:58070 CLOSE_WAIT
TCP :3389 45.155.205.132:55746 CLOSE_WAIT
TCP :3389 45.155.205.134:47870 CLOSE_WAIT
TCP :3389 45.155.205.139:46716 CLOSE_WAIT
TCP :3389 45.155.205.139:55216 CLOSE_WAIT
TCP :3389 45.155.205.202:34316 CLOSE_WAIT
TCP :3389 92.255.85.154:54320 CLOSE_WAIT
TCP :3389 92.255.85.166:56884 CLOSE_WAIT
TCP :3389 92.255.85.169:44222 CLOSE_WAIT
TCP :3389 92.255.85.170:44736 CLOSE_WAIT
TCP :3389 92.255.85.171:43556 CLOSE_WAIT
TCP :3389 92.255.85.172:45354 CLOSE_WAIT
TCP :3389 92.255.85.177:42484 CLOSE_WAIT
TCP :3389 92.255.85.177:56186 CLOSE_WAIT
TCP :3389 92.255.85.180:50028 CLOSE_WAIT
TCP :3389 92.255.85.181:50378 CLOSE_WAIT
TCP :3389 92.255.85.181:56818 CLOSE_WAIT
TCP :3389 92.255.85.188:51322 CLOSE_WAIT
TCP :3389 185.156.72.46:40316 ESTABLISHED
TCP :3389 185.156.72.46:54860 CLOSE_WAIT
TCP :3389 185.156.72.47:51008 CLOSE_WAIT
TCP :3389 185.156.74.5:34042 CLOSE_WAIT
TCP :3389 185.156.74.5:42684 CLOSE_WAIT
TCP :3389 185.156.74.5:54556 CLOSE_WAIT
TCP :3389 185.156.74.8:58732 CLOSE_WAIT
TCP :3389 185.156.74.12:44390 CLOSE_WAIT
TCP :3389 185.156.74.14:39942 CLOSE_WAIT
TCP :3389 185.156.74.14:52072 CLOSE_WAIT
TCP :3389 185.156.74.20:44620 CLOSE_WAIT
TCP :3389 185.156.74.21:45020 CLOSE_WAIT
TCP :3389 185.156.74.24:56144 CLOSE_WAIT
TCP :3389 185.156.74.28:46338 CLOSE_WAIT
TCP :3389 185.156.74.28:59114 CLOSE_WAIT
TCP :3389 185.156.74.32:39350 CLOSE_WAIT
TCP :3389 185.156.74.32:44216 CLOSE_WAIT
TCP :3389 185.156.74.39:45956 CLOSE_WAIT
TCP :3389 185.193.88.12:60818 SYN_RECEIVED
TCP :3389 185.193.88.35:34484 CLOSE_WAIT
TCP :3389 185.193.88.65:50628 CLOSE_WAIT
TCP :3389 185.193.88.68:44780 CLOSE_WAIT
TCP :3389 185.193.88.68:44874 CLOSE_WAIT
TCP :3389 185.193.88.70:33352 CLOSE_WAIT
TCP :3389 185.193.88.74:54912 CLOSE_WAIT
TCP :3389 185.193.88.77:59322 CLOSE_WAIT
TCP :3389 185.193.88.82:42794 CLOSE_WAIT
TCP :3389 185.193.88.82:49704 CLOSE_WAIT
TCP :3389 185.193.88.82:56380 CLOSE_WAIT
TCP :3389 185.193.88.88:58414 CLOSE_WAIT
TCP :3389 185.193.88.89:60166 CLOSE_WAIT
TCP :3389 185.193.88.90:47534 CLOSE_WAIT
TCP :3389 185.193.88.91:39308 CLOSE_WAIT
TCP :3389 185.193.88.92:41768 CLOSE_WAIT
TCP :3389 185.193.88.93:36122 CLOSE_WAIT
TCP :3389 185.193.88.99:49322 CLOSE_WAIT
TCP :3389 185.193.88.100:54888 CLOSE_WAIT
TCP :3389 185.193.88.104:33780 CLOSE_WAIT
TCP :3389 185.193.88.105:33514 CLOSE_WAIT
TCP :3389 185.193.88.107:38026 CLOSE_WAIT
TCP :3389 185.193.88.107:44750 CLOSE_WAIT
TCP :3389 185.193.88.108:41940 CLOSE_WAIT
TCP :3389 185.193.88.118:60082 CLOSE_WAIT
TCP :3389 185.193.88.120:38166 CLOSE_WAIT
..

MarkusS 2022-02-03 15:10:28 UTC #6

voilà j'ai lancé ces 9 commandes et ça les bloque bien, netstat -a est vide.

netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=45.134.26.0-45.134.26.255
netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=45.145.64.0-45.145.65.255
netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=45.146.164.0-45.146.165.255

netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=45.155.204.0-45.155.204.255
netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=45.155.205.0-45.155.205.255
netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=92.255.85.0-92.255.85.255

netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=185.156.72.0-185.156.72.255
netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=185.156.74.0-185.156.74.255
netsh advfirewall firewall add rule name="russe" dir=in action=block protocol=tcp localport=3389 remoteip=185.193.88.0-185.193.88.255

TTY 2022-02-03 16:57:53 UTC #7

Sous linux il y a IPSET qui permet de bannir facilement des pays ou ASN complet.
Peut être qu'il existe un équivalent sous Windows ?

MarkusS 2022-02-03 17:26:15 UTC #8

j'avais trouvé ce site https://inlanddiscovery.com/?p=369 qui proposait des listes d'ip par pays, mais les liens semblent morts. En outre, bon je n'ai pas vérifié à 100%, mais en parcourant les IP il me semble qu'une des IP venait de Hollande mais appartenait à une compagnie Russie. Si quelqu'un a plus de temps libre il peut revérifier les IP de la liste ci-dessus.

MarkusS 2022-02-03 17:30:33 UTC #9

Il y a surtout 3 pays qui attaquent je crois, la russie, la chine et l'iran. J'avais un compte hotmail chez Microsoft et il existe une option pour voir toutes les tentatives d'intrusion, ça venait généralement d'un des trois.

MarkusS 2022-02-03 17:43:25 UTC #10

Un ami vient de me donner ce lien https://isc.sans.edu/port.html?port=3389
Ce site répertorie toutes les IP qui scannent le port 3389, et apparemment ils changent tous les jours d'IP. Donc ce n'est pas fini.

janus57 2022-02-03 18:55:24 UTC #11

Bonjour,

Perso il y a 3 règles avec un WS :
1- ne pas l'exposer en directe sur internet
2- si des connexion extérieur sont possible (car exposé sur internet) => mise à jour obligatoire chaque mois, sans attendre même si c'est pour se choper les KB foireux
3- utiliser un mdp robuste (16 caractères stricte minium).

Cordialement, janus57

MarkusS 2022-04-04 20:43:40 UTC #12

Bonjour,

j'ai de nouveau une nuée de bots qui tentent de se connecter sur mon serveur Windows. J'ai mis un mot de passe long et complexe mais c'est tout de même embêtant d'avoir ce trafic de fond,donc j'ai fini par changer le port d'écoute.

Si ça peut servir à d'autres personnes voici comment faire :

Pour Windows Hyper-V Server 2012 R2 (64bits) :
Suivez ces étapes pour modifier le port 3389 du Service de Bureau À Distance
sans devoir redémarrer la machine !

Ouvrez L’Éditeur du Registre en cliquant sur le bouton Démarrer,
tapez regedit puis appuyez sur Entrée,

Dans L’éditeur de Registre, accédez à
HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Control, Terminal Server, WinStations et RDP-Tcp.
PortNumber

faites un clic droit sur le numéro de port dword et sélectionnez Modifier.
Changez la base en décimal et entrez un nouveau port entre 1025 et 65535 qui n’est pas déjà utilisé.

3389 -> 3390

cliquez sur OK

Autoriser ce port dans le parefeu:

netsh advfirewall firewall add rule name="TCP Port 3390" dir=in action=allow protocol=TCP localport=3390

Redémarrer le service bureau à distance :

stop UmRdpService (port redirector, doit être arrêté AVANT TermService car dépendance)
restart TermService (va redémarrer aussi UmRdpService)

Se connecter sur le client partage de bureau en ajoutant le port à la fin

xxx.xxx.xxx.xxx:3390

0452a6c4c177a798aa83 2022-06-22 18:17:49 UTC #13

Syspeace est un logiciel qui marche bien pour nos serveurs Windows, c'est payant, compter environ 25 € par serveur et par an.

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVHcloud Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.