Каковы основные методы взлома RDP и какие меры безопасности следует предпринять для защиты от них? Каким образом злоумышленники могут получить IP-адрес сервера и учетные данные для входа?
Существует несколько способов взлома доступа по протоколу RDP (Remote Desktop Protocol): 1. Брутфорс атака: злоумышленники могут попытаться взломать RDP, перебирая различные комбинации паролей. Для защиты от этого типа атаки необходимо использовать сложные и уникальные пароли, а также включить механизм блокировки учетной записи после определенного количества неудачных попыток входа. 2. Уязвимости в защите сервера: злоумышленники могут эксплуатировать уязвимости в серверном ПО, что позволит им получить несанкционированный доступ. Для защиты от этого стоит регулярно обновлять ПО и использовать антивирусное программное обеспечение. 3. Социальная инженерия: злоумышленники могут пытаться обманом получить IP-адрес сервера и учетные данные от пользователей. Для защиты от этого рекомендуется обучать сотрудников правилам безопасности и не разглашать личные данные по телефону или по электронной почте. Для обеспечения безопасности доступа по протоколу RDP рекомендуется также использовать двухфакторную аутентификацию, шифрование трафика, ограничение доступа по IP-адресам, регулярное аудитирование логов и мониторинг активности пользователей.
IP определяются обычным перебором. При отправке на порт RDP нужного запроса, злоумышленник получает hello от сервиса. Дальше - брутфорс логина и пароля. Возможно логин и пароль подслушивают сетевым сниффером в общедоступных сетях. Бывают определённые 0-day уязвимости, которые позволяют зайти, выполнив специальный запрос. Если хотите подробностей - откройте у себя сниффер входящих запросов на RDP порту. Посмотрите - какие запросы к Вам приходят, какие методы при этом используются. Будет интересно )
IP - из сканера. Запустили сканер на весь мир и перебирают понемногу. RDP работает на специфичном порту, его обычно не меняют.
Логин - обычно перебором. Да-да, простым тупым перебором. Ты конечно скажешь - интересно как это хакер найдет мог логин hren_morzhovyii? Ну, такой может быть и не найдет, но вообще говоря есть два момента:
- юзера тупы и зачастую используют примитивные логины типа user, admin, alex, sam, buh, boss и т.д.
- "какеры" тупы и ищут тупые логины типа описанных выше (это вовсе не шутка - если судить по попыткам подобрать пароль к почте - у нас боты долбящие запрос на юзера admin делают это годами :) Разные разумеется, банишь одних, приходят другие)
Как именно ломают RDPПри помощи инструментов хакеров
и как от этого защититься?Не использовать RDP
Откуда у злоумышленников ip сервера и логин?Из интернета. "Вычислю по IP это не шутка".
Простым перебором адресов и портов.
А аккаунты - словарями распостраненных логинов и паролей.
Но вы можете облегчить им работу расположив RDP-порт на стандартном для RDP открытом порту, используя распостраненные логины типа admin, user и пр., и озаботившись тем чтобы пароль попал в словари подбора.