Bruteforce RDP interne serveur

[sbx59]

Bonjour,

J'ai deux serveur RDP. Il sont relié en VPN.

Je viens de m’apercevoir que l'un deux, essaye de faire du brute force sur l'autre, voici le message dans les log ( voir PJ )

merci de votre aide :(

[sbx59]

Edit : j'ai passer FRST

Fichier Addition: https://pjjoint.malekal.com/files.php?i ... 10r13s13q6 mot de passe avril
fichier FRST : https://pjjoint.malekal.com/files.php?i ... j10z7q11h7 mot de passe : avril

[Malekal_morte]

Salut,

Depuis le serveur qui émet les connexions, utilise Le moniteur de ressources systèmes.
Cela permet de lister les connexions établies.
Trouve celles vers l'autre serveur RDP (port distant 3309).
Tu devrais pouvoir voir le processus qui les émet.
Ca peut permettre déjà de trouver la source.

En attendant, depuis le pare-feu de Windows.
Dans les règles avancés, tu créés une règle pour bloque le port 3309 depuis cette machine (sauf si y a besoin de pouvoir se connecter dessus).

[sbx59]

Merci pour la réponse.

La seul chose qui pointe vers l'autre serveur c'est systeme.exe ( par contre ou vois tu le port ? )

[Malekal_morte]

C'est vraiment systeme.exe avec un e à la fin ?
C'est pas system tout court ?
Tu as l'emplacement ? Tu peux le soumettre à VirusTotal

Tu as les ports distants dans les connexions TCP.
Après sur la version serveur, c'est peut-être différents.
Voir aussi ces solutions : Lister les connexions réseaux sur Windows.

moniteurs-ressources-lister-connexion-ports-distants.jpg

[sbx59]

Je n'ai plus ce service ... il n'y a pas d'autre moyen ? ( on a blacklisté du coup l'ip sur serveur vers le serveur cible ... )

[Malekal_morte]

Il faut que tu arrives à déterminer le processus qui émet les connexions.