Est-ce normal ?



  • Bonsoir,
    je demande des avis de la part des experts Win Server 2k8 ce soir car j'ai trouver une chose qui me semble louche dans les journaux de sécurité Windows.
    En effet, il contient plus de 41000 entrées, toutes des tentatives d'accès à mon serveur via RDP. Le plus étonnant, c'est que l'IP qui se log vient d'Arabie Saoudite, or, je ne pense pas être super connu là-bas.
    Alors c'est peut-être l'ancien locataire du serveur qui s'était fait des ennemis :s
    En tout cas, ce phénomène s'est reproduis sur le FTP également, et j'ai du bloquer pas mal de ports…

    Voici une capture d'écran qui peut vous aider à comprendre mon problème :

    PS : Sur mon FTP, les attaques proviennent du Texas, du Canada et de la Chine. Vraiment très étrange.
    PS² : Mon système est à jours via Windows Update et je vérifie quotidiennement s'il n'y a pas de nouvelles mises à jours de sécurité.

    **Donc j'aimerais savoir si il faut que je contacte le support afin de trouver la source de ce problème.
    Si vous avez une solution de configuration afin de résoudre ce problème (bloquer certains ports, etc…)
    Un blacklistage d'IP ne me semble pas suffisant car touts les jours j'ai le droit à de nouvelles attaques provenant de différents pays.
    **


  • Administrateur

    Tient t'es à Douarn ? Mon lieu de vacances :)
    Bon, pour revenir au sujet, c'est "normal". Ce sont des scan provenant de partout dans le monde (50 % du trafic mondial provient de bots).
    Il faut changer les ports par défaut, et tu devrais être tranquille. Si tu ne veux pas changer les ports, une simple règle sur le parefeu pour n'autoriser que ton ip règlera le problème.



  • Merci de ta réponse rapide :)
    Pour ce qui est de changer de port, à chaque fois qu'un bot me "scanne", il utilise un port différent, donc je ne vois pas comment faire.
    Et mon IP est dynamique (merci orange --' et au passage, tant que je peut les blâmer, j'ai une connexion de 94.84 KB/sec et j'en suis fier --' RAGE : OFF HS : OFF).

    Donc si tu pourrais m'indiquer comment faire pour changer les ports par défaut ça serait sympa :)
    Merci.



  • Je te conseil déjà de changer le port de connexion bureau à distance (3389)
    -> cmd.exe -> regedit ->HKEY_LOCAL_MACHINE-> System-> CurrentControlSet-> Control-> TerminalServer-> WinStations-> RDP-Tcp -> portnumber
    et change 3389 par le chiffre voulu, si ton parefeu est activé n'oublie pas d'ouvrir le nouveau port

    Ensuite, quel port souhaite-tu modifier?



  • Ok, merci Laurent, les autres ports je sais comment les changer.

    Par contre, est-ce sur que ce sont des bots, car sur le TeamSpeak que j'héberge sur mon serveur il y a des coups de down pendant 5 minutes ainsi que sur mes 5 sites hébergés via IIS7.


  • Administrateur

    Il y a eu des pannes aujourd'hui à TELEHOUSE 2, une partie de l'internet français a été HS, panne électrique il me semble.
    On a été impacté comme la quasi totalité des hébergeurs FR.


Se connecter pour répondre
 

Il semble que votre connexion ait été perdue, veuillez patienter pendant que nous vous re-connectons.