Är Microsofts säkerhet för RDP ett jävla skämt? NLbrute.exe

Vad hade du för användarnamn till adminkontot? Standard "Administrator" eller?

Lösenordet ser inte så avancerat ut heller så med största sannorlikhet har dem gissat sig fram till rätt lösenord med bruteforce attack och testat vanliga användarnamn som t.ex. admin, administrator.

I framtiden kan du använda exempelvis RDPguard som är en applikation som blockerar IPadresser som försökt logga in med fel uppgifter x antal gånger. Kanske även byta port på remote servern från 3389 till något annat.

Good luck!

Det är ju ett svagt lösenord, så det behöver ju inte vara något konstigare än att de provat sig fram.

Slumpade lösenord, i stil med jDw2GB1EYDYWPybH9z1L vore ju mer passande. Särskilt om vem som helst får försöka logga in.

Du ska inte ha ett lösenord som går att brute forca. Tänk efter så är det lätt. Plocka in ett ord som inte finns i ordlistor (iallafall engelska...) och använd inte nummerföljder som 123 som är det första man testar. Något specialtecken och versal är ju inte fel heller.

Ditt lösenord var väldigt svagt, använd helst inte ord som kan finnas i ordlistor och lägg till specialtecken.

Kör spelservrar med Linux och har ställt in nycklar istället för inlogg via SSH och har även ställt in brandväggen så att den endast släpper igenom från det lokala nätverket och särskilda IP-adresser utifrån. Vet inte hur man kan lösa det med din Windowsburk. Antar att man kan använda Teamviewer som alternativ.

Att använda RDPguard eller liknande kommer inte påverka systemet mer än den redan pågående attacken, snarare mindre då den blockerar hackarens IP från att göra inloggningsförfrågningar, rätta mig om jag har fel.

Vidare på Mr_Bs svar: Det finns PS-scripts som liknar RDPguard som gör samma sak, scriptet kollar loggarna och dyker samma IPadress upp att den försökt logga in men misslyckats så läggs adressen med i blacklist.

Som tidigare kommentarer sagt så svartlistar du allt förutom din vitlistade adress så bör du vara ganska säker och behöver inte göra något mer avancerat. Over and out.

Med så otroligt svagt passord så är det inte konstigt att denne kom in...

Rapture fanns i många instanser i tex. rockyou-passordsläckaget - förvisso inte med 123 efter men det är sådant en hackare provar maskinellt eftersom det är så mäniskor tänker om de tvingas att ange siffror i sitt passord - placerad antingen i början eller slutet av ordet...

Mer listor kan hittas i https://wiki.skullsecurity.org/Passwords och det finns många andra som samlar både på läckta passord i klarspråk och sådana som är framhackade av existerande läckta haschsummor av passord

(Edit: för övrigt tycker jag det är modigt att tala om aktuella passordet och hur illa det faktiskt är utan att hymla, det är inte bara du som kommer att lära dig av det, det är många andra som läser i tråden eftersom du gör samma fel som typ 80% av alla skulle göra om de satte upp egen server/forum själva)

---

Passord borde plockas fram maskinslumpmässigt liknande som med

https://www.passwordcard.org/en

Med slumpmässigt valda bokstäver, siffror och alla skrivbara symboler minst 12 tecken! (för 3000 år vid 1000 miljarder tester i sekunden) , bara siffror och bokstäver så får du gå upp till 16 tecken! - så mycket datorkraft finns det idag för att knäcka inom överskådlig tid!!

Eller med passfraser liknande

https://www.rempe.us/diceware/#swedish

minst 6 ord (obs. skiljetecken mellan orden (valfri typ) är viktig för styrkan, skriv inte ihop order och använd inte mellanslag)

---

Poängen i det hela är att du får ta de maskingenererade passorden som ges och inte få välja speciellt mycket själv. Så fort du lägger in minsta egna konstruktion eller urval i det för att göra det uttalbart, snabbare att skriva etc. så hjälper du attackeraren och du måste kompensera det med ännu mera tecken/ord

med passfraser så gjorde jag samma arrangemang som med passwordcard med att ha en massa ord framtagna med länk 2 mha. excel/open office tillverka en matris i kreditkortsformat med ord på båda sidor, och korten har man i plånboken tills vissa valda sekvenser (+ ett ord som inte finns på någon av korten) ur korten sitter i huvudet - främst då passfraser, medan kombinationer på passwordcard används där det inte är meningen att lära sig utantill utan är 'förbrukningskoder' och istället låta någon passordsmanager hantera det...

@SkiZoR:

Om NLbrute körs/kördes lokalt på maskinen är den ägd på ett sånt sätt att jag inte skulle lita på den alls.
Kan du inte backa tillbaka till ett datum där du är 100% säker på att den var ren följ mini-ryttges tips och börja om.
Följ denna guide för att säkra upp maskinen:

https://security.berkeley.edu/resources/best-practices-how-ar...

Så som du har kört RPD fram till nu är ett under att maskinen inte blivit ägd tidigare.
Finns det fler servrar i "samma nät" bör ni kolla över dessa oxo.

2FA?
Kör DUO på min RDP host (+whitelist)

Du tog orden ur munnen på mig bokstavligen talat

Börja med att ge dig själv en smäll Surfa sedan in på https://www.cisecurity.org/cis-benchmarks/
och läs deras benchmarks för det operativsystem och tjänster du använder, det är en bra början

Som påpekat så ska man inte använda defaultkontot administrator. Att byta namn på det hjälper men det finns en betydligt bättre lösning. Skapa ett nytt konto och gör det till medlem av administratorsgruppen. Dissabla sen administrator.

Oavsett hur mycket man än byter namn på administrator så kommer det kontot att ha sid 500 och man kodmässigt göra anrop med sid istället för användarnamn. Dvs man träffar det kontot oavsett namn, skapar man ett eget adminkonto så får det en unik sid.

Sen är RDP ett protokoll avsett för internt bruk, inte för access över inet. Ska man göra det "rätt" så ska man sätta upp en rdgw eller köra över vpn

1. Tillåt inget externt.
2. Koppla upp dig med VPN.
3. Voila, du blir inte hackad.

När det gäller passord och dess (låga...) styrka så kan man gå till tex. https://hashes.org/ och där ladda ned listor av knäckta passord från många miljoner haschsummor av passord från läckta databaser från mer eller mindre kända Internetaktörer och därifrån har man baklänges parat ihop hashsumma med motsvarande ord som har skapat hashen.

De flesta listor/läckage med lite ålder på, så har man knäckt och identifierat korresponderande passordet för hash-summan till över 97%.

tex läckan från linkedin med nära 62 miljoner hashes av passord så har man knäckt listan till 97.14%, så har ni någon gång loggat in där för några år sedan så är använda passordet där med största sannolikhet publik i klarspråk.

Kikat lite i dessa listor (är nedladdningsbara) - formatet är urselt och hackish men man kan konstatera att det är fasen inte lätt att hitta på ett unikt passord med bara hjärnan utan maskinhjälp och som inte redan finns i listorna och dessutom tro att den håller för en attack om angriparen kommer över hash-summan. - det behövs helt andra grepp idag...

En del av passordsekvenserna är riktigt långa räknat i teckenantal men är ändå knäckta (pga. att de inte är tillräckligt slumpmässig - tex keyrolling-passord så är nog de flesta tagna redan) - tydligen är det ganska många som använder email-adressen som passord i olika varianter och det är så dåligt val av passord att det hanteras som 'junk' på egna listor...

Det man kan notera dock är att det finns inga uppenbara märkbar andel knäckta passfraser av diceware-typ i dessa listor och det beror nog på att man måste börja knäckningen med relativt stort antal tecken redan från början och det har inte varit fokus på det ännu.

Ganska dåligt lösenord, enda bra med att du skriver det här är att du troligen bara har det på ett ställe. Sedan är kontot administrator inte rekommenderat att använda eftersom det inte finns något skydd mot utelåsning på just det kontot. Så han har friskt kunnat fortsätta, istället för att kontot blir låst efter 5 felaktiga försök, som på alla andra. Plus att alla känner till kontonamnet.

Öppna gpedit.msc, computer config>Windows settings>security settings>account policys>account lockout policy. Där kör du 1H på båda samt 5 försök. Så fem felaktiga försök under 1 timmes tid kommer låsa kontot i 1 timme.

Eftersom ni upplevt seghet/lagg senaste dagarna så låter det som en bruteforce. Men om du inte håller den patchad med senaste patcharna från Windows update kan han kört något säkerhetshål. Att byte port-nummer tar bort en liten attackvektor, men mycket enkelt att leta RDP-servrar som lyssnar på andra nummer med. Det är ju bäst fiskelycka på 3389 eftersom det är standard.

Det går, finns tom en gpo för det.
Men som sagt, det är inte en särskillt stark åtgärd utan nytt konto plus dissable på standalone maskiner.
Har man ett ad i drift så titta på laps. Den är riktigt effektiv

*Tråd rensad*

Tagit bort onödigt hårda och generaliserande formuleringar i enlighet med §1.
/moderator

Jag hade nog ominstallerat allt och läst tillbaka bara spelservermapparna från backup typ 3-4 dagar bakåt från det att du blivit hackad. Du bör kunna kolla i eventloggen på servern där du kan se NÄR hackaren/boten lyckades logga in. Så har du något tidsaxel att gå på när du ska läsa tillbaka backupen. Ev så kan du läsa tillbaka hela backupen på systemet baserat på tidsramen ovan.
Sen följer du alla tipsen här åvan. VPN löser många problem. Kör du linuxserver så slipper du en del problem också samt det blir lättare att adminstrera sett till vad du har installerat. Sen finns det några bra gratisprogram/verktyg som du kan använda för att spärra bruteforce.

Eftersom det är essentials så är den domänkontrollant. Då ska du in i grupppolicyhantaren (group poiicy management) för domänen. Sedan ändra i default domain controler policy som appliceras på domänkontrollanterna i domänen. Du måste ändra threshold först.