На RDP сервер заходит с 4-5 раза

[psy76]

Здравствуйте. На rdp сервер заходит с 4-5 раза и заходит долго. Эта проблема была месяц назад, что только не делали, вплоть до смены магистрального оборудования (роутер, свитч) и перенастройки его. Попросили провайдера сменить ip, после смены ip проблема ушла. Прошёл месяц, проблема опять появилась. На серверах установлен KSOS, он ничего не видит, при сканировании Malwarebytes Anti-Malware тоже ничего не находит. Единственное что показывает, это gmer, показывает перехват svchost. По netstat -ato видно что кто-то ломится через интернет по rdp на 3389. Вытаскивая из роутера интернетовский шнур, по локалке rdp начинает нормально работать, заходит с первого раза и быстро.

[Info_bot]

Уважаемый(ая) psy76, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

[psy76]

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

https://files.fm/u/jcmwjvs3c

[Vvvyg]

Уведомление

Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ"

Брутфорсят по RDP, в этом причина:

PHP код:

[+] Detection: (Built-in Logic) - Account Brute Forcing
┌──────┬──────────────────┬────────────────────┐
│  id  │     username     │ failed_login_count │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "SERVICE"        │ 162                │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "admn"           │ 48                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "ADMINISTRATOR"  │ 391                │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "RKADMIN"        │ 236                │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "i"              │ 58                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "ADMINISTRATEUR" │ 11                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "MODERATOR"      │ 32                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "testt"          │ 46                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "test2"          │ 59                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "USER1"          │ 86                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "test1"          │ 47                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "user8"          │ 49                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "USER2"          │ 60                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "a"              │ 45                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "test8"          │ 46                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "ADRIANO"        │ 6                  │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "ADMIN"          │ 74                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "TEST"           │ 117                │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "CAMILA"         │ 6                  │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "OFFICE"         │ 48                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "1"              │ 39                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "admins"         │ 47                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "aa"             │ 48                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "АДМИНИСТРАТОР"  │ 31891              │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "ADM"            │ 12                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "test"           │ 53                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "MANAGER"        │ 27                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "w"              │ 47                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "aaaa"           │ 58                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "userr"          │ 55                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "SYSTEM"         │ 183                │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "seven"          │ 58                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "user1"          │ 58                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "VENDAS"         │ 6                  │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "administrator"  │ 51                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "aaa"            │ 48                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "user2"          │ 59                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "SUPORTE"        │ 6                  │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "USER"           │ 84                 │
├──────┼──────────────────┼────────────────────┤
│ 4625 │ "user"           │ 55                 │
└──────┴──────────────────┴────────────────────┘ 


Поэтому периодически вход блокируется. Поищите в интернете гайды по защите RDP подключения.

[psy76]

Спасибо. Да это уж я понял по netstat -ato. Cyberarms intrusion detection установлен, ничего не видит и никого не блокирует. А почему thread svchost.exe при этом gmer локально на серваке вылавливает и именно когда эта штука с rdp входом происходит? Когда месяц назад ip адрес нам сменили, этот thread пропал, как и эта проблема. Как они так быстро узнают новый адрес и брутфорсят? 7 лет серваки стояли и не брутфорсили нас, а теперь за последние 3 месяца кому-то понадобились.

[Vvvyg]

Надёжнее всего закрыться на роутере, сделать белые списки подсетей, с которых разрешён заход по RDP. Что за роутер у вас?

Обновления на систему все установлены?

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[psy76]

У меня в cyberarms tls/ssl agent выключен был. Вот я шляпа. Всё нормально, теперь эти брутфорсы блочатся. Спасибо.