Je viens de jeter un coup d'œil dans les journaux d'erreurs de notre serveur Web. Les services Terminal Server signalent ce qui suit:
"La session distante à partir du nom du client a dépassé le nombre maximal de tentatives de connexion infructueuses autorisées. La session a été fermée de force."
Des centaines de fois, environ toutes les 10,5 secondes pendant environ 5 à 10 minutes, une fois à 14 heures hier et une fois encore à environ 1 heure du matin.
Nous avons actuellement RDP ouvert à l’extérieur, car je viens de terminer la configuration et de temps en temps, je/d’autres doivent sauter depuis un bureau/emplacement extérieur (le VPN n’est pas une option).
Comme ils sont si réguliers, ai-je raison de supposer qu'ils peuvent être le résultat d'une sorte d'attaque par dictionnaire? ou quelque chose comme la session bloquée d'un administrateur interne pourrait-il causer une telle masse d'événements?
(Win Server 2008 R2)
Oui, ça sonne comme ça. Normalement, dans les journaux, il indiquera une adresse IP, cela peut être un bon indicateur.
J'avais presque identique (mais le mien était via une faiblesse de SQL Server et un port ouvert), à la fin les attaques étaient si constantes qu'il a volé toute la bande passante (je pense que c'est le terme inondation de port)