イベントビューアでの不明で奇妙なRDPログイン成功
有効なIPを備えたWindowsServer 2008 R2を使用していますが、最近、EventViewerに何百もの未知の奇妙なRDPログインが成功したことがわかりました。詳細は次のとおりです。
- 通常のログインとは異なり、私自身がサーバーにログインしている場合でも、たまに毎秒発生します。
- 「Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational」でイベント「リモートデスクトップサービス:ユーザー認証が成功しました」、イベントID 1149
- ドメイン名のないランダムなユーザーアカウントを使用しているようです。私はそれらのローカルユーザーアカウントを持っておらず、サーバーはどのドメインにも属していないことを確信しています。正当なRDPログインには有効なユーザーアカウントとワークグループ名がありますが、これらのログインはワークグループなしで不明なユーザー名を使用します。
サポートスタッフは私を助けることができませんでした、そして私はこれらの奇妙なログインが何であるか非常に興味があります。彼らはある種のブルートフォース攻撃ですか?では、なぜ「成功」と表示されるのでしょうか。私はハッキングされていますか?なぜ彼らは継続的に起こり続けるのですか?
編集:これらのアカウントはサーバーに存在しないことをもう一度指摘したいと思います。存在しないユーザーアカウントからRDPログインが成功するのはなぜだろうか。 (例:ユーザープロファイルフォルダーがない)
ユーザーディレクトリが存在しないからといって、ユーザーが存在しないわけではありません。 MMCのローカルユーザーアカウントとサービスアカウントをチェックして、それらが実際に存在しないことを確認します。
これらの症状は通常、ネットワークを通過するRDPワームの兆候です。また、実行中のマルウェア対策ユーティリティが最新であることを確認し、そのマシンでフルスキャンを実行します。 RDPワームがあり、ログインに成功した場合は、すでに感染している可能性があります。
私はまったく同じ問題を抱えており、結果を再現するには、ネットワークレベル認証(ubuntu rdpクライアント)のないrdpクライアントを使用してリモートマシンに接続し、架空のユーザー名を入力するだけでした。ログイン画面が表示され、リモートデスクトップの認証が成功したため、イベントがイベントビューアに記録されました。ただし、架空のアカウントを使用してログインすることはできませんでした。可能であれば、リモートデスクトップのネットワークレベル認証をオンにすることをお勧めします。
ソースネットワークアドレスは、これらの接続がどこから来ているかをあなたに与えるはずです。そうすれば、問題のトラブルシューティングが簡単になるかもしれません。 RDPセッションでセキュリティが有効になっていることを確認してください。そして、はい、それはあなたがハッキングされている可能性があります。