Är Microsofts säkerhet för RDP ett jävla skämt? NLbrute.exe

Trädvy Permalänk
Medlem
Plats
Sollentuna
Registrerad
Dec 2006

Är Microsofts säkerhet för RDP ett jävla skämt? NLbrute.exe

Hallå där.

Driver spelservrar och kommer åt dessa genom microsoft terminal desktop aka. mstsc aka. rdp...

Jag har nu blivit hackad (fick syn på massa filer döpta efter kyrilliska alfabetet). Såg att en applikation vid namn NLbrute kördes vid tillfället jag insåg att han var inne.
Det slutade med att han bytte lösenordet på servern så nu kommer jag inte in alls. Ryckte ut strömkabeln och communityn är död i väntan på att jag går ner på alla fyra och plockar upp efter karln.

Är detta endast pga. att jag haft ett för svagt lösenord utåt? Vad kan jag göra för att förhindra det här i framtiden?

Password till servern var Rapture123

Tacksam för svar

EDIT: HOW TO HACK YOUTUBE SEARCH https://www.youtube.com/results?search_query=Nl+Brute

Olämpliga formuleringar /mod

¤ CPU Intel Core 2 QUAD Q9450 CPU Kylare Zalman CNPS9700LED Ultra Quiet GPU GeForce GTX 280 1024MB Moderkort Asus Rampage Formula iX48 RAM Corsair Dominator 2GB TWIN2X2048-8500C5DF Ljudkort Creative SB X-Fi Xtreme Gamer Fatal1ty PSU Corsair HX Series Modular Power Supply 620W Chassi Cooler Master Stacker STC-T01 HDD WD Raptor 150GB 10000RPM ~ Maxtor 300GB ~ Samsung SpinPoint 500GB ¤

Trädvy Permalänk
Medlem
Plats
127.0.0.1
Registrerad
Aug 2011

Vad hade du för användarnamn till adminkontot? Standard "Administrator" eller?

Lösenordet ser inte så avancerat ut heller så med största sannorlikhet har dem gissat sig fram till rätt lösenord med bruteforce attack och testat vanliga användarnamn som t.ex. admin, administrator.

I framtiden kan du använda exempelvis RDPguard som är en applikation som blockerar IPadresser som försökt logga in med fel uppgifter x antal gånger. Kanske även byta port på remote servern från 3389 till något annat.

Good luck!

CPU:Intel core i7 8700k @ 4.8 ghz all cores, 1.26v (Noctua NH-D15) GPU: ASUS GTX 1080 TI STRIX OC @ 2088 / 12006mhz MINNE:16gb G.Skill Ripjaws V 3866mhz @ 16-16-16-36, 1.39v MODERKORT:MSI z370 Gaming M5 NÄTAGG:Antec High Current Gamer 900w SSD: Samsung SM843 480gb, Samsung 830 256gb, Samsung 840 PRO 256gb CHASSI: Fractal Design Define R5 Titanium LJUDKORT: ASUS Xonar Essence STX HÖRLURAR: QPAD QH-90 OS: Windows 10 PRO

Trädvy Permalänk
Medlem
Registrerad
Apr 2002
Skrivet av SkiZoR:

Hallå där.

Driver spelservrar och kommer åt dessa genom microsoft terminal desktop aka. mstsc aka. rdp...

Jag har nu blivit hackad (fick syn på massa filer döpta efter kyrilliska alfabetet). Såg att en applikation vid namn NLbrute kördes vid tillfället jag insåg att han var inne.
Det slutade med att han bytte lösenordet på servern så nu kommer jag inte in alls. Ryckte ut strömkabeln och communityn är död i väntan på att jag går ner på alla fyra och plockar upp efter karln.

Är detta endast pga. att jag haft ett för svagt lösenord utåt? Vad kan jag göra för att förhindra dethär i framtiden?

Password till servern var Rapture123

Tacksam för svar

Det är ju ett svagt lösenord, så det behöver ju inte vara något konstigare än att de provat sig fram.

Slumpade lösenord, i stil med jDw2GB1EYDYWPybH9z1L vore ju mer passande. Särskilt om vem som helst får försöka logga in.

Intel i7 6850k || Asus X99-A II || Evga GTX 980Ti || Kingston HyperX Fury 2666 64GB || Samsung 950 Pro 512GB || XB270HU 1440p IPS G-Sync

Trädvy Permalänk
Medlem
Plats
I Villan
Registrerad
Jul 2001

Du ska inte ha ett lösenord som går att brute forca. Tänk efter så är det lätt. Plocka in ett ord som inte finns i ordlistor (iallafall engelska...) och använd inte nummerföljder som 123 som är det första man testar. Något specialtecken och versal är ju inte fel heller.

Trädvy Permalänk
Medlem
Plats
~/
Registrerad
Mar 2008

Ditt lösenord var väldigt svagt, använd helst inte ord som kan finnas i ordlistor och lägg till specialtecken.

Kör spelservrar med Linux och har ställt in nycklar istället för inlogg via SSH och har även ställt in brandväggen så att den endast släpper igenom från det lokala nätverket och särskilda IP-adresser utifrån. Vet inte hur man kan lösa det med din Windowsburk. Antar att man kan använda Teamviewer som alternativ.

AMD Ryzen 5 2600X, Asus ROG Strix B350-I, 16GB Corsair Vengeance LP 2400MHz, Nvidia GeForce GTX 970, Fractal Design Nano S, EVGA Supernova G2 650W.

Trädvy Permalänk
Medlem
Plats
Sollentuna
Registrerad
Dec 2006

Tack för era svar, jag korrigerar konfigurationen enl. ovan. Har dock inte tid att switcha till Linux för tillfället.

Ett till problem jag kom på såhär i efterhand är att han troligtvis knackat rätt ordentligt eftersom vi har haft hög ping på servrarna ca två dagar innan han kom in.
Vet inte om lösningen med RDP-guard även indikerar för hobbyhackern att han får avslag på sina försök eller om han ändå fortsätter bruta och således belastar nätet en jävla massa men förvisso inte kommer in.

Fler tips uppskattas, står ändå väldigt förvånad att detta är möjligt och bättre säkerhet inte finns integrerat i serveroperativen "by default".

¤ CPU Intel Core 2 QUAD Q9450 CPU Kylare Zalman CNPS9700LED Ultra Quiet GPU GeForce GTX 280 1024MB Moderkort Asus Rampage Formula iX48 RAM Corsair Dominator 2GB TWIN2X2048-8500C5DF Ljudkort Creative SB X-Fi Xtreme Gamer Fatal1ty PSU Corsair HX Series Modular Power Supply 620W Chassi Cooler Master Stacker STC-T01 HDD WD Raptor 150GB 10000RPM ~ Maxtor 300GB ~ Samsung SpinPoint 500GB ¤

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Maj 2003

Det har inte riktigt framgått, och, jag är inte så säker på att jag vill höra svaret. Men, ett svagt lösenord, är självklart inte bra, men om man måste både gissa lösenord, och användarnamn, så blir säkerheten... bättre. Så, som admin på systemet ska du inte ha klassiska användarnamn som sysop, admin, administratör, eller ditt nick / namn.
Det första jag gör är dessutom byter port för remote desktop, det minskar om inget annat träffytan.

RDPguard är ju ett bra tips, det kände jag inte till, "problemet" med den lösningen är ju att den kostar pengar. Det är man sällan intresserad av i förebyggande syfte, och skriker efter, när det väl har hänt... Och priset var fan inte lågt i heller...

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.

Trädvy Permalänk
Medlem
Plats
127.0.0.1
Registrerad
Aug 2011
Skrivet av SkiZoR:

Tack för era svar, jag korrigerar konfigurationen enl. ovan. Har dock inte tid att switcha till Linux för tillfället.

Ett till problem jag kom på såhär i efterhand är att han troligtvis knackat rätt ordentligt eftersom vi har haft hög ping på servrarna ca två dagar innan han kom in.
Vet inte om lösningen med RDP-guard även indikerar för hobbyhackern att han får avslag på sina försök eller om han ändå fortsätter bruta och således belastar nätet en jävla massa men förvisso inte kommer in.

Fler tips uppskattas, står ändå väldigt förvånad att detta är möjligt och bättre säkerhet inte finns integrerat i serveroperativen "by default".

Skrivet av -=Mr_B=-:

Det har inte riktigt framgått, och, jag är inte så säker på att jag vill höra svaret. Men, ett svagt lösenord, är självklart inte bra, men om man måste både gissa lösenord, och användarnamn, så blir säkerheten... bättre. Så, som admin på systemet ska du inte ha klassiska användarnamn som sysop, admin, administratör, eller ditt nick / namn.
Det första jag gör är dessutom byter port för remote desktop, det minskar om inget annat träffytan.

RDPguard är ju ett bra tips, det kände jag inte till, "problemet" med den lösningen är ju att den kostar pengar. Det är man sällan intresserad av i förebyggande syfte, och skriker efter, när det väl har hänt... Och priset var fan inte lågt i heller...

Att använda RDPguard eller liknande kommer inte påverka systemet mer än den redan pågående attacken, snarare mindre då den blockerar hackarens IP från att göra inloggningsförfrågningar, rätta mig om jag har fel.

Vidare på Mr_Bs svar: Det finns PS-scripts som liknar RDPguard som gör samma sak, scriptet kollar loggarna och dyker samma IPadress upp att den försökt logga in men misslyckats så läggs adressen med i blacklist.

Som tidigare kommentarer sagt så svartlistar du allt förutom din vitlistade adress så bör du vara ganska säker och behöver inte göra något mer avancerat. Over and out.

CPU:Intel core i7 8700k @ 4.8 ghz all cores, 1.26v (Noctua NH-D15) GPU: ASUS GTX 1080 TI STRIX OC @ 2088 / 12006mhz MINNE:16gb G.Skill Ripjaws V 3866mhz @ 16-16-16-36, 1.39v MODERKORT:MSI z370 Gaming M5 NÄTAGG:Antec High Current Gamer 900w SSD: Samsung SM843 480gb, Samsung 830 256gb, Samsung 840 PRO 256gb CHASSI: Fractal Design Define R5 Titanium LJUDKORT: ASUS Xonar Essence STX HÖRLURAR: QPAD QH-90 OS: Windows 10 PRO

Trädvy Permalänk
Medlem
Plats
Stenungsund
Registrerad
Maj 2005

Vänta nu du tillåter 3389 TCP från 0.0.0.0/0 och klagar på "Microsofts säkerhet"?

Din server har blivit hackad på grund av.

1. Tillåter RDP från alla addresser, detta gör man inte. Detta är mot ALL best practice någonsin skriven.
2. Du använder ingen sorts svartlistning vid flera misslyckade inloggningar från samma IP. Ska du tillåta RDP från större ranges så är detta inte bara best practice utan ett krav.
3. Du har haft ett värdelöst lösenord på standardkontot. Även detta är ett katastrofallt säkerhetshål.

Din server har blivit hackad av en bot. Det är ingen ryss som suttit och gjort skitjobbet, det är en bot, allt från att porstscanna till att bruteforcea till att installera skit och ge maskinen ett nytt jobb är gjort av en bot.

Du har bokstavligt talat gjort allt i din väg för att få din server hackad och du skyller nu på Microsoft?
Jag är ledsen men har du ingen självransakan så får någon annan förse dig med vad du borde förstått direkt.

Vad du borde göra nu är följande.
Stäng ner servern.
Fixa dina brandväggsregler och tillåt bara RDP från addresser som ska ha åtkomst.
Restora från senaste kända bra backup, från tider innan maskinen blev hackad.
Byt lösenord till något säkert, använd typ keepass eller lastpass eller något för dina lösenord och håll dem random och riktigt långa.

Har du ingen vettig backup så är nuke from orbit och bygga om ditt enda alternativ.

Every mammal on this planet instinctively develops a natural equilibrium with the surrounding environment; but you humans do not. Instead you multiply, and multiply, until every resource is consumed.
There is another organism on this planet that follows the same pattern... a virus.
CITERA CITERA CITERA

Trädvy Permalänk
Medlem
Registrerad
Aug 2016

Med så otroligt svagt passord så är det inte konstigt att denne kom in...

Rapture fanns i många instanser i tex. rockyou-passordsläckaget - förvisso inte med 123 efter men det är sådant en hackare provar maskinellt eftersom det är så mäniskor tänker om de tvingas att ange siffror i sitt passord - placerad antingen i början eller slutet av ordet...

Mer listor kan hittas i https://wiki.skullsecurity.org/Passwords och det finns många andra som samlar både på läckta passord i klarspråk och sådana som är framhackade av existerande läckta haschsummor av passord

(Edit: för övrigt tycker jag det är modigt att tala om aktuella passordet och hur illa det faktiskt är utan att hymla, det är inte bara du som kommer att lära dig av det, det är många andra som läser i tråden eftersom du gör samma fel som typ 80% av alla skulle göra om de satte upp egen server/forum själva)

---

Passord borde plockas fram maskinslumpmässigt liknande som med

https://www.passwordcard.org/en

Med slumpmässigt valda bokstäver, siffror och alla skrivbara symboler minst 12 tecken! (för 3000 år vid 1000 miljarder tester i sekunden) , bara siffror och bokstäver så får du gå upp till 16 tecken! - så mycket datorkraft finns det idag för att knäcka inom överskådlig tid!!

Eller med passfraser liknande

https://www.rempe.us/diceware/#swedish

minst 6 ord (obs. skiljetecken mellan orden (valfri typ) är viktig för styrkan, skriv inte ihop order och använd inte mellanslag)

---

Poängen i det hela är att du får ta de maskingenererade passorden som ges och inte få välja speciellt mycket själv. Så fort du lägger in minsta egna konstruktion eller urval i det för att göra det uttalbart, snabbare att skriva etc. så hjälper du attackeraren och du måste kompensera det med ännu mera tecken/ord

med passfraser så gjorde jag samma arrangemang som med passwordcard med att ha en massa ord framtagna med länk 2 mha. excel/open office tillverka en matris i kreditkortsformat med ord på båda sidor, och korten har man i plånboken tills vissa valda sekvenser (+ ett ord som inte finns på någon av korten) ur korten sitter i huvudet - främst då passfraser, medan kombinationer på passwordcard används där det inte är meningen att lära sig utantill utan är 'förbrukningskoder' och istället låta någon passordsmanager hantera det...

Trädvy Permalänk
Medlem
Registrerad
Okt 2002

@SkiZoR:

Om NLbrute körs/kördes lokalt på maskinen är den ägd på ett sånt sätt att jag inte skulle lita på den alls.
Kan du inte backa tillbaka till ett datum där du är 100% säker på att den var ren följ mini-ryttges tips och börja om.
Följ denna guide för att säkra upp maskinen:

https://security.berkeley.edu/resources/best-practices-how-ar...

Så som du har kört RPD fram till nu är ett under att maskinen inte blivit ägd tidigare.
Finns det fler servrar i "samma nät" bör ni kolla över dessa oxo.

//Dixon

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Maj 2003
Skrivet av mini-ryttge:

Fixa dina brandväggsregler och tillåt bara RDP från addresser som ska ha åtkomst.

Nu vet jag inte vilka förutsättningar TS har, men mina RDP burkar kan jag inte köra whitelists på. Jag kör dem i stället bakom brandväggsburkar som får göra sitt bästa för att skydda dem, bland annat genom att aggressivt detektera för portscaning, och blocka ursprunget, flyttad RDP port, och "icke standard" användarnamn.
(Anledningen till att jag inte kan köra med Whitelist är att jag själv flyter runt bland olika IP's och behöver kunna komma åt dem, alltid.)

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Nov 2008

2FA?
Kör DUO på min RDP host (+whitelist)

Citera! Gaming: Chassi: FD R4| CPU: 7700K | Kylare: Noctua NH-D14 | MB: MSI Z270 GAMING PRO CARBON | Grafikkort: GTX1080 | RAM: Corsair LPX 16GB 3333MHz CL16 | OS:Disk: Intel 600p 512GB | PSU: EVGA Supernova 850 G2 |
Servrar: x2 DL380 G7 x2 X5660 - 294/240GB Ram (VM Pfsense + annat)
Desktop i7 2600K - 8GB + HP DL360 G7 2xE5620 -16GB Ram (ej i drift)

Trädvy Permalänk
Medlem
Plats
/
Registrerad
Jun 2016

Om du måste åt RDP utanför routern/brandväggen, stäng rdp porten i brandväggen och sätt upp en openvpn server och connecta via den. Blir inte mycket säkrare än så.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Mar 2011

Så många säkerhetsfel du har gjort här tyvärr. Tur att det bara är några spelservrar och ingen viktig data iallfall

Du borde kolla på följande:
VPN och bara låta ditt VPN nät koppla upp sig emot RDP
Sätta upp något logsystem som kan larma på bruteforce attacker. Utgår ifrån att du inte producerar så mycket loggar så tror att du borde kunna använda "Splunk Free" utan några problem
Inte använda "Administrator" kontot utan att använda ett annat konto.
Börja använda en lösenordshanterare och köra olika lösenord överallt. Jag kan rekomendera Keepass

Trädvy Permalänk
Medlem
Plats
Sundsvall
Registrerad
Jan 2010
Skrivet av mini-ryttge:

Vänta nu du tillåter 3389 TCP från 0.0.0.0/0 och klagar på "Microsofts säkerhet"?

Din server har blivit hackad på grund av.

1. Tillåter RDP från alla addresser, detta gör man inte. Detta är mot ALL best practice någonsin skriven.
2. Du använder ingen sorts svartlistning vid flera misslyckade inloggningar från samma IP. Ska du tillåta RDP från större ranges så är detta inte bara best practice utan ett krav.
3. Du har haft ett värdelöst lösenord på standardkontot. Även detta är ett katastrofallt säkerhetshål.

Din server har blivit hackad av en bot. Det är ingen ryss som suttit och gjort skitjobbet, det är en bot, allt från att porstscanna till att bruteforcea till att installera skit och ge maskinen ett nytt jobb är gjort av en bot.

Du har bokstavligt talat gjort allt i din väg för att få din server hackad och du skyller nu på Microsoft?
Jag är ledsen men har du ingen självransakan så får någon annan förse dig med vad du borde förstått direkt.

Vad du borde göra nu är följande.
Stäng ner servern.
Fixa dina brandväggsregler och tillåt bara RDP från addresser som ska ha åtkomst.
Restora från senaste kända bra backup, från tider innan maskinen blev hackad.
Byt lösenord till något säkert, använd typ keepass eller lastpass eller något för dina lösenord och håll dem random och riktigt långa.

Har du ingen vettig backup så är nuke from orbit och bygga om ditt enda alternativ.

Du tog orden ur munnen på mig bokstavligen talat

Trädvy Permalänk
Medlem
Registrerad
Okt 2001
Skrivet av SkiZoR:

Vem är det jag ska åka hem till och slå i ansiktet? Är detta endast pga. att jag haft ett för svagt lösenord utåt? Vad kan jag göra för att förhindra dethär i framtiden?

Börja med att ge dig själv en smäll Surfa sedan in på https://www.cisecurity.org/cis-benchmarks/
och läs deras benchmarks för det operativsystem och tjänster du använder, det är en bra början

Trädvy Permalänk
Medlem
Plats
127.0.0.1
Registrerad
Jun 2004

Som påpekat så ska man inte använda defaultkontot administrator. Att byta namn på det hjälper men det finns en betydligt bättre lösning. Skapa ett nytt konto och gör det till medlem av administratorsgruppen. Dissabla sen administrator.

Oavsett hur mycket man än byter namn på administrator så kommer det kontot att ha sid 500 och man kodmässigt göra anrop med sid istället för användarnamn. Dvs man träffar det kontot oavsett namn, skapar man ett eget adminkonto så får det en unik sid.

Sen är RDP ett protokoll avsett för internt bruk, inte för access över inet. Ska man göra det "rätt" så ska man sätta upp en rdgw eller köra över vpn

Arbetsdator: HFX Mini. Core-i5 2405S, Radeon 6570, Asus P8P67-M . Skärm: Dell 2407
HTPC: HFX Classic, E8500, Radeon 3450, P5K/EPU, Floppydtv-s2
Hyper-V Server: E6750 8GB minne 2X3TB Raid1 samt 2X1TB raid 1

Trädvy Permalänk
Inaktiv
Registrerad
Nov 2010

Kör med VPN ffs..

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Maj 2003
Skrivet av mats42:

Som påpekat så ska man inte använda defaultkontot administrator. Att byta namn på det hjälper men det finns en betydligt bättre lösning. Skapa ett nytt konto och gör det till medlem av administratorsgruppen. Dissabla sen administrator.

Oavsett hur mycket man än byter namn på administrator så kommer det kontot att ha sid 500 och man kodmässigt göra anrop med sid istället för användarnamn. Dvs man träffar det kontot oavsett namn, skapar man ett eget adminkonto så får det en unik sid.

Går det ens att byta namn på utan att bråka? Jag har alltid skapat ett nytt konto, och stängt av default, eller, om någon prompt måste ha det tillgängligt, enbart givit det lokal inloggning. Avstängt är bättre, men...

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Aug 2009

1. Tillåt inget externt.
2. Koppla upp dig med VPN.
3. Voila, du blir inte hackad.

7900x @ 4,7ghz - 1080ti @ 2100

Trädvy Permalänk
Medlem
Registrerad
Aug 2016

När det gäller passord och dess (låga...) styrka så kan man gå till tex. https://hashes.org/ och där ladda ned listor av knäckta passord från många miljoner haschsummor av passord från läckta databaser från mer eller mindre kända Internetaktörer och därifrån har man baklänges parat ihop hashsumma med motsvarande ord som har skapat hashen.

De flesta listor/läckage med lite ålder på, så har man knäckt och identifierat korresponderande passordet för hash-summan till över 97%.

tex läckan från linkedin med nära 62 miljoner hashes av passord så har man knäckt listan till 97.14%, så har ni någon gång loggat in där för några år sedan så är använda passordet där med största sannolikhet publik i klarspråk.

Kikat lite i dessa listor (är nedladdningsbara) - formatet är urselt och hackish men man kan konstatera att det är fasen inte lätt att hitta på ett unikt passord med bara hjärnan utan maskinhjälp och som inte redan finns i listorna och dessutom tro att den håller för en attack om angriparen kommer över hash-summan. - det behövs helt andra grepp idag...

En del av passordsekvenserna är riktigt långa räknat i teckenantal men är ändå knäckta (pga. att de inte är tillräckligt slumpmässig - tex keyrolling-passord så är nog de flesta tagna redan) - tydligen är det ganska många som använder email-adressen som passord i olika varianter och det är så dåligt val av passord att det hanteras som 'junk' på egna listor...

Det man kan notera dock är att det finns inga uppenbara märkbar andel knäckta passfraser av diceware-typ i dessa listor och det beror nog på att man måste börja knäckningen med relativt stort antal tecken redan från början och det har inte varit fokus på det ännu.

Trädvy Permalänk
Medlem
Registrerad
Dec 2008

Ganska dåligt lösenord, enda bra med att du skriver det här är att du troligen bara har det på ett ställe. Sedan är kontot administrator inte rekommenderat att använda eftersom det inte finns något skydd mot utelåsning på just det kontot. Så han har friskt kunnat fortsätta, istället för att kontot blir låst efter 5 felaktiga försök, som på alla andra. Plus att alla känner till kontonamnet.

Öppna gpedit.msc, computer config>Windows settings>security settings>account policys>account lockout policy. Där kör du 1H på båda samt 5 försök. Så fem felaktiga försök under 1 timmes tid kommer låsa kontot i 1 timme.

Eftersom ni upplevt seghet/lagg senaste dagarna så låter det som en bruteforce. Men om du inte håller den patchad med senaste patcharna från Windows update kan han kört något säkerhetshål. Att byte port-nummer tar bort en liten attackvektor, men mycket enkelt att leta RDP-servrar som lyssnar på andra nummer med. Det är ju bäst fiskelycka på 3389 eftersom det är standard.

Trädvy Permalänk
Medlem
Plats
127.0.0.1
Registrerad
Jun 2004
Skrivet av -=Mr_B=-:

Går det ens att byta namn på utan att bråka? Jag har alltid skapat ett nytt konto, och stängt av default, eller, om någon prompt måste ha det tillgängligt, enbart givit det lokal inloggning. Avstängt är bättre, men...

Det går, finns tom en gpo för det.
Men som sagt, det är inte en särskillt stark åtgärd utan nytt konto plus dissable på standalone maskiner.
Har man ett ad i drift så titta på laps. Den är riktigt effektiv

Arbetsdator: HFX Mini. Core-i5 2405S, Radeon 6570, Asus P8P67-M . Skärm: Dell 2407
HTPC: HFX Classic, E8500, Radeon 3450, P5K/EPU, Floppydtv-s2
Hyper-V Server: E6750 8GB minne 2X3TB Raid1 samt 2X1TB raid 1

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Maj 2003
Skrivet av jocke92:

Öppna gpedit.msc, computer config>Windows settings>security settings>account policys>account lockout policy. Där kör du 1H på båda samt 5 försök. Så fem felaktiga försök under 1 timmes tid kommer låsa kontot i 1 timme.

Här haglar det bra tips.
Inte för att jag kunde dra nytta av just detta.

Account lockout duration: Not Applicable
Account lockout threshold: 0 invalid login attempts
Reset account lockout counter after: Not Applicable

Och inget av värdena går att ändra. Windows 2012 Server R2 Essentials. Är det möjligen för att jag loggar in via just RDP? Rätt mycket uppför sig annorlunda lokalt kontra remote, har jag upptäckt.

Skrivet av mats42:

Det går, finns tom en gpo för det.
Men som sagt, det är inte en särskillt stark åtgärd utan nytt konto plus dissable på standalone maskiner.

Mmm, som sagt, visste inte ens det gick, har alltid bara stängt av.

Sitter och klurar på om man kan köra en VPN på servrarna, och ha en USB sticka med sig om man behöver logga in uteifrån. USB-stickan i sig måste i så fall vara skyddad så att inte vem som helst kan hitta den och komma åt systemet, men sådana stickor finns det ju att köpa.

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.

Trädvy Permalänk
Forumledare
Kent
Registrerad
Jan 2005

*Tråd rensad*

Tagit bort onödigt hårda och generaliserande formuleringar i enlighet med §1.
/moderator

Synpunkter eller frågor gällande modereringen? Då kan du kontakta mig eller moderatorerna.
Ursäkta min stavning, jag är dansk

Trädvy Permalänk
Medlem
Registrerad
Dec 2002

Jag hade nog ominstallerat allt och läst tillbaka bara spelservermapparna från backup typ 3-4 dagar bakåt från det att du blivit hackad. Du bör kunna kolla i eventloggen på servern där du kan se NÄR hackaren/boten lyckades logga in. Så har du något tidsaxel att gå på när du ska läsa tillbaka backupen. Ev så kan du läsa tillbaka hela backupen på systemet baserat på tidsramen ovan.
Sen följer du alla tipsen här åvan. VPN löser många problem. Kör du linuxserver så slipper du en del problem också samt det blir lättare att adminstrera sett till vad du har installerat. Sen finns det några bra gratisprogram/verktyg som du kan använda för att spärra bruteforce.

[size="1"]*signatur raderad*, referrallänkar behöver vi inte gömma i signaturer (§8 marknadsföring)[/size] Till MOD: Ditt smartskafft, man gömmer inte något som är helt synligt!

Trädvy Permalänk
Medlem
Plats
Sollentuna
Registrerad
Dec 2006

Stort tack för alla svaren, känner att jag har fått en mycket bättre helhetsbild och kommer att konfigurera om servern därefter.

För att snabbt motivera kring min vrede, förstår att folk rycker på axlarna och tänker att jag får skylla mig själv med tanke på det simpla lösenordet. Någonstans så tog jag för givet att dessa bruteforce-bottar var näst intill värdelösa eftersom systemet slår ifrån vid x-antal felaktiga försök och därefter lägger till mer och mer tid för nya försök.

Det var inte så.

Det går att pusta och frusta utav bara helvete och sen bunkra upp på ordentligt med skinka. Det var ingen bot eftersom jag initialt loggade ut honom mitt i akten i takt med att jag loggade in. Sen blev det en kort tango fram tills att han snabbt bytte administratörslösenordet.
Därpå försökte han avaktivera min steam authenticator men det gick inte lika bra, tack Steam, grym säkerhet och enkelt att sätta upp till skillnad från Microsoft som indirekt matar hobby-hackers.

Stoppar min voucher på ett hårt ansiktsslag i fickan tills om jag snubblar över denna hacker irl

¤ CPU Intel Core 2 QUAD Q9450 CPU Kylare Zalman CNPS9700LED Ultra Quiet GPU GeForce GTX 280 1024MB Moderkort Asus Rampage Formula iX48 RAM Corsair Dominator 2GB TWIN2X2048-8500C5DF Ljudkort Creative SB X-Fi Xtreme Gamer Fatal1ty PSU Corsair HX Series Modular Power Supply 620W Chassi Cooler Master Stacker STC-T01 HDD WD Raptor 150GB 10000RPM ~ Maxtor 300GB ~ Samsung SpinPoint 500GB ¤

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av -=Mr_B=-:

Här haglar det bra tips.
Inte för att jag kunde dra nytta av just detta.

Account lockout duration: Not Applicable
Account lockout threshold: 0 invalid login attempts
Reset account lockout counter after: Not Applicable

Och inget av värdena går att ändra. Windows 2012 Server R2 Essentials. Är det möjligen för att jag loggar in via just RDP? Rätt mycket uppför sig annorlunda lokalt kontra remote, har jag upptäckt.

Eftersom det är essentials så är den domänkontrollant. Då ska du in i grupppolicyhantaren (group poiicy management) för domänen. Sedan ändra i default domain controler policy som appliceras på domänkontrollanterna i domänen. Du måste ändra threshold först.

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Maj 2003
Skrivet av jocke92:

Eftersom det är essentials så är den domänkontrollant. Då ska du in i grupppolicyhantaren (group poiicy management) för domänen. Sedan ändra i default domain controler policy som appliceras på domänkontrollanterna i domänen. Du måste ändra threshold först.

*tittar oförstående*

Japp. Jag hittar inget av det där. Känner att det är djupare vatten här än jag klarar av, så det är tid att backa så långsamt, och inte skrämma upp någonting skadligt. Inte ta vatten över huvudet osv. Tack i alla fall.

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.