теория:
Брутфорс — атака на протокол удаленного рабочего стола (RDP) – один из наиболее распространенных методов хакеров для несанкционированного доступа к системе. Этот вид атаки основан на переборе паролей, путем автоматизированной попытки ввода различных комбинаций паролей до тех пор, пока не будет найден подходящий. Для защиты от брутфорса RDP, рекомендуется использовать сложные и уникальные пароли, активировать двухфакторную аутентификацию, ограничить доступ к RDP по IP адресам, а также использовать межсетевые экраны и средства мониторинга активности пользователей.практика:
Собираю IPv4 адреса, тех кто ломится по RDP на мои сервера, база собирается мной лично, обновляется примерно раз в 2 недели.если у вас есть предложения, пожелания по обновлению, дополнению базы или просто вопросы:
- пишите мне в телегу
- вы можете отправить мне файл с теми кто пытается брутфорсить вас с помощью этого powershell скрипта
$result = Get-WinEvent -FilterHashtable @{LogName='Security';ID=4625; EndTime=(get-date).AddHours(1)} | ForEach-Object {
$eventXml = ([xml]$_.ToXml()).Event
[PsCustomObject]@{
UserName = ($eventXml.EventData.Data | Where-Object { $_.Name -eq 'TargetUserName' }).'#text'
IpAddress = ($eventXml.EventData.Data | Where-Object { $_.Name -eq 'IpAddress' }).'#text'
EventDate = [DateTime]$eventXml.System.TimeCreated.SystemTime
}
}
$result
скачать файл, корректно работает на windows server >2008, windows 10,11запустить в консоли powershell:
./name.ps1 > %filename%где %filename% любое имя файла. Далее можете прислать мне этот файл, я добавлю данные из него в БД
свежий файл с айпишниками 👉 GitHub
в табличке, при нажатии на подсвеченный ip перекинет на страничку с логинами по которым ломились
| # | ip | country | region | isp |
|---|
