これらのハッキングの試みまたは何か不吉なものですか?
Webサーバーのエラーログを確認したところ、ターミナルサービスが報告しています。
「クライアント名aからのリモートセッションは、ログオン試行の最大失敗回数を超えました。セッションは強制的に終了されました。」
数百回、10.5秒ごとに約5〜10分間、昨日午後2時に1回、今朝午前1時にもう一度。
私は現在、RDPを外部に公開しています。セットアップを完了したばかりであり、今度は外部のオフィス/場所からジャンプする必要があります(VPNはオプションではありません)
これらは非常に規則的であるため、ある種の辞書攻撃の結果である可能性があると思い込んでいますか?または、内部管理者のハングしたセッションのようなものがこのような大量のイベントを引き起こす可能性がありますか?
(Win Server 2008 R2)
そうだね。通常、ログではIPアドレスを通知しますが、これは良い指標かもしれません。
私はほとんど同じでしたが(私の場合はSQL Serverの脆弱性とオープンポートを使用していました)、最終的に攻撃は非常に一定だったため、すべての帯域幅を盗みました(ポートフラッディングは用語だと思います)