Недоступность терминального сервера (RDP) в Windows Server 2008 R2 (SYN-атака)

Вопросы-ответы
Если на Ваш сервер идёт сетевая атака, то возможно это проявляется через полную или частичную недоступность терминального сервиса (RDP) на Вашей ВМ.
Мы предлагаем способ определения такой атаки и нивелирования оной.
Недоступность в результате атаки вызвана уязвимостью протокола RDP в Windows Server 2008 R2.
 
Диагностика атаки:
 
  1. Подключиться к консоли ВМ (через cca.oblakoteka.ru).
  2. Произвести вход на свой сервер с административным логином.
  3. Запустить командную строку (cmd.exe)
  4. Выполнить команду: netstat –an | find “3389” (Здесь 3389 – номер порта RDP сервера по умолчанию. Если его меняли, то нужно указать актуальный)
  5. В результате будет что-то в виде:
TCP 37.230.152.10:3389 188.129.239.91:16800 SYN_RECEIVED     
Ключевое слово здесь - SYN_RECEIVED.     IP адрес предполагаемого вредителя - 188.129.239.91 (в данном примере)
 
Если на текущий момент у вас недоступно подключение к удаленному рабочему столу рекомендуем:
  • подключиться к консоли ВМ через cca.oblakoteka.ru;
  • создать блокирующее правило на локальном firewall для выявленного адреса(ов)
Рекомендуем установить обновление для системы безопасности протокола RDP https://support.microsoft.com/ru-ru/kb/2621440
 
Один из способов борьбы с сетевой атакой – это изменить стандартный порт RDP на какой то другой. Инструкция тут https://support.microsoft.com/ru-ru/kb/306759
Рекомендуем обновиться до Microsoft Windows Server 2012 R2, эта версия менее подвержена таким атакам по RDP.

Add Feedback