Если на Ваш сервер идёт сетевая атака, то возможно это проявляется через полную или частичную недоступность терминального сервиса (RDP) на Вашей ВМ.
Мы предлагаем способ определения такой атаки и нивелирования оной.
Недоступность в результате атаки вызвана уязвимостью протокола RDP в Windows Server 2008 R2.
Диагностика атаки:
- Подключиться к консоли ВМ (через cca.oblakoteka.ru).
- Произвести вход на свой сервер с административным логином.
- Запустить командную строку (cmd.exe)
- Выполнить команду: netstat –an | find “3389” (Здесь 3389 – номер порта RDP сервера по умолчанию. Если его меняли, то нужно указать актуальный)
- В результате будет что-то в виде:
TCP 37.230.152.10:3389 188.129.239.91:16800 SYN_RECEIVED
Ключевое слово здесь - SYN_RECEIVED. IP адрес предполагаемого вредителя - 188.129.239.91 (в данном примере)
Если на текущий момент у вас недоступно подключение к удаленному рабочему столу рекомендуем:
- подключиться к консоли ВМ через cca.oblakoteka.ru;
- создать блокирующее правило на локальном firewall для выявленного адреса(ов)
Рекомендуем установить обновление для системы безопасности протокола RDP https://support.microsoft.com/ru-ru/kb/2621440
Один из способов борьбы с сетевой атакой – это изменить стандартный порт RDP на какой то другой. Инструкция тут https://docs.microsoft.com/ru-ru/windows-server/remote/remote-desktop-services/clients/change-listening-port
Рекомендуем обновиться до Microsoft Windows Server 2012 R2, эта версия менее подвержена таким атакам по RDP.