CyberLaka

защити свои данные, управляй безопасностью с умом

Открытый RDP в интернет: приглашение на взлом

rdp_access

Написано

baddogpro

в

,

“А чё такого, я просто открыл RDP, чтобы из дома подключаться…”
“Да никто ж не знает мой IP!”
“Пароль у меня сложный — qwerty123Q!”

Ну что ж. Серверу было хорошо. Царство ему небесное.

Что такое RDP?

RDP — это удалённый рабочий стол от Microsoft. Удобная штука, чтобы работать с сервером, не вставая со стула.

Но вот беда — по умолчанию он открывается на весь мир, если ты не позаботился о фаерволе, VPN и других банальных мерах безопасности.

А что будет, если просто открыть порт 3389?

А будет так:

  • Через 5 минут сервер появляется в списках Shodan.
  • Через 10 минут начинаются брутфорс-атаки.
  • Через час уже десятки ботов из разных стран долбят твой сервер как дятел дерево.
  • А через сутки там может сидеть кто угодно: криптомайнер, шифровальщик, какой-нибудь «друг» из Даркнета или школьник из Discord’а, который ищет «виртуалку поиграться».

Как это обычно выглядит?

  • В Event Log куча попыток входа от «admin», «administrator», «user», «test», «ivan», «123».
  • В Task Manager — нагруженный процессор (возможно, майнинг).
  • В C:\Users\Admin\Downloads — подозрительные .exe.
  • А иногда — просто чёрный экран при попытке входа, потому что кто-то уже внутри, и ты не один.

Почему так делают?

Потому что:

  • «Мне нужно срочно работать из дома.»
  • «VPN? Не, сложно.»
  • «Да никто не догадается!»
  • «Пока работает — не трогаем.»
  • «Нам не до этого, проект горит.»

И вот горит уже не проект, а весь сервер.

Что надо было сделать?

  1. VPN.
    Сначала подключаешься в корпоративную сеть — и уже внутри, по RDP, работаешь спокойно.
  2. Фаервол.
    Разрешить доступ только с конкретных IP-адресов (например, домашнего). Всё остальное — в бан.
  3. Смена порта?
    Это не защита, а маскировка. На 3390 найдут так же быстро, как на 3389. Лучше так не утешать себя.
  4. Брут-защита.
    Используй fail2ban, auditpol, Group Policy: блокировка учётки после 3–5 неудачных попыток входа.
  5. RDP Gateway или Jump Host.
    Продвинутый способ для больших сетей — через точку входа, а не на каждый сервер.
  6. Двухфакторка.
    Да, даже для RDP это возможно. Есть решения вроде Duo или RDPGuard.

Самое важное

RDP напрямую в интернет = сервер с петардой в заднице.
Ты не «облегчаешь себе доступ», ты открываешь дверь в систему всем желающим.
Хакеры даже не взламывают — они просто заходят.

Вывод

Если ты видишь открытый RDP — немедленно бей тревогу, зови старших, закрывай порт, настраивай VPN, блокируй весь мир, кроме себя.
И не верь в чудеса.
«Да никто не найдёт» — это прям личное приглашение для всего ботнета планеты.

Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Больше записей