[WS 2008 R2] Suis je attaqué ? Si oui, comment m'en prévenir.

[WhoIsTiti]

Bonjour,
Il semblerait que mon vps (hébergé chez ikoula) subissent des tentatives de connexion, de ce type :

Citation:

Nom du journal*:Security
Source*: Microsoft-Windows-Security-Auditing
Date*: 21/02/2011 21:28:49
ID de l’événement*:4625
Catégorie de la tâche*:Ouvrir la session
Niveau*: Information
Mots clés*: Échec de l’audit
Utilisateur*: N/A
Ordinateur*: le nom de mon vps sur le réseau
Description*:
Échec d’ouverture de session d’un compte.

Sujet*:
ID de sécurité*: NULL SID
Nom du compte*: -
Domaine du compte*: -
ID d’ouverture de session*: 0x0

Type d’ouverture de session*: 3

Compte pour lequel l’ouverture de session a échoué*:
ID de sécurité*: NULL SID
Nom du compte*: admin
Domaine du compte*: SERVIDOR

Informations sur l’échec*:
Raison de l’échec*: Nom d’utilisateur inconnu ou mot de passe incorrect.
État*: 0xc000006d
Sous-état*: 0xc0000064

Informations sur le processus*:
ID du processus de l’appelant*: 0x0
Nom du processus de l’appelant*: -

Informations sur le réseau*:
Nom de la station de travail*: SERVIDOR
Adresse du réseau source*: 200.85.42.66
Port source*: 2527

Informations détaillées sur l’authentification*:
Processus d’ouverture de session*: NtLmSsp
Package d’authentification*: NTLM
Services en transit*: -
Nom du package (NTLM uniquement)*: -
Longueur de clé*: 0

il y en 19400 dans le journal system.(adresse ip différente/ nom d'utilisateur différent de type 'admin' 'administrator' etc)

qu'en pensez vous ? comment dois je réagir ?
(mon mot de passe n'est pas prêt d'être trouvé longueur : 16 caractères, mélangés aléatoirement en MAJ/MIN/CHIFFRE/CARACTERES SPECIAUX)

merci.

[kedare]

Citation:

Envoyé par WhoIsTiti

Bonjour,
Il semblerait que mon vps (hébergé chez ikoula) subissent des tentatives de connexion, de ce type :


il y en 19400 dans le journal system.(adresse ip différente/ nom d'utilisateur différent de type 'admin' 'administrator' etc)

qu'en pensez vous ? comment dois je réagir ?
(mon mot de passe n'est pas prêt d'être trouvé longueur : 16 caractères, mélangés aléatoirement en MAJ/MIN/CHIFFRE/CARACTERES SPECIAUX)

merci.

C'est une attaque oui..
Essais de voir si tu peux restreindre l'accès aux services via le firewall Windows, et autoriser le RDP seulement depuis quelques IP.

[WhoIsTiti]

Par contre, dans mon parefeu, j'avais dès le départ modifier le port 'par défaut' (3389) des connexions RDP. Inutile ou pas comme prévention ?

Concernant le renforcement de ma règle de trafic sortant / entrant (et avant de me couper les accès à moi même par erreur), lorsque je vais sur les propriétés de la règle du parefeu pour mes connexion RDP, j'ai un onglet Etendue, avec deux champs Adresse IP Locale et Adresse ip distante.

Si je souhaite effectivement ajouter des adresses ip distantes, je suppose que c'est le deuxième champs qui me concerne ? je coches Ces adresses IP, mmm ?

[kedare]

Si tu fait des bonnes règles de firewall, il n'y a plus trop d'intérêt a modifier le port RDP.

Pour l'IP, oui la tienne c'est la distance, pour tester et éviter de t'enfermer a l'extérieur, tente sur un autre port comme le port HTTP/80 ou tout simplement l'ICMP.