Tag: RDP

Jak lehké je stát se obětí RDP útoku

Tento článek přiblížuje podrobnosti jednoho konkrétního případu, který jsme zaznamenali v síti u jednoho z našich zákazníků.

Několik dnů zpět jsme byli svědky něčeho, s čím jsme se doposud v praxi nesetkali. Je důležité podobným věcem z pohledu správce věnovat pozornost, nepodceňovat je a aktivně jim předcházet.

Minulý týden bylo nutné udělat úpravu v konfiguraci důležitého virtualizačního serveru, na který se v běžném provozu vůbec nepřistupuje, není součástí domény a není mu věnována velká pozornost. Do serveru nebylo možné se vzdáleně přihlásit. Následoval pokus lokálního přihlášení, ale ten byl také neúspěšný.

Po krátké analýze situace se zjistilo, že na stroj zůstaly poslední dva měsíce přesměrované porty z internetu pro protokol vzdálené plochy RDP a heslo administrátora nebylo dostatečně komplexní. Podezření se po chvíli potvrdilo a začali jsme pátrat po dalších detailech pravděpodobného brute force útoku. Zjistili jsme, že server navštívili minimálně dva různí útočníci a vše nasvědčuje tomu, že někdo mohl získaný stroj nabízet na Darknetu.

Důrazně doporučujeme stroj ihned přeinstalovat a minimálně s ním dále operovat v produkčním prostředí. My jsme jej okamžitě izolovali od okolní sítě a pracovali s ním v laboratorních podmínkách.

20160225_115056782_iOS

 

Čtěte více