针对服务器遭受勒索病毒攻击的问题,开发了一款RDP安全工具,该工具能够监控远程桌面登录行为,自动拦截疑似暴力破解的IP地址,有效减少服务器被攻击的风险。
背景
最近有客户中勒索病毒。导致业务数据丢失,幸好平时有快照备份,可以恢复到最近数据。查中毒计算机日志,有大量用户验证失败的记录。猜测对方是通过开放在公网上的远程桌面RDP协议,频繁尝试密码,暴力破解远程桌面的用户密码后控制服务器加密文件勒索。
业务需要,有些服务器远程桌面无法关闭。用户可能随时随地登录,不能加IP范围限制。使用VPN又增加用户登录难度和需要加软硬件配置。网络上也未找到相应的应对工具。
本着业务自动化,数据规范化的思路。周末两天,断断续续成果如下。
程序主界面
程序运行后添加的防火墙规则(红色阻止图标规则)
程序原理
统计一段期间内(通常是一天),同一IP地址验证密码次数,超过设定的阀值,就把这个IP加入黑名单,用Windows系统防火墙拦截此IP继续连接验证密码。
程序构成
程序包含,一个绿色版exe和一个ini配置文件。无需安装,双击exe即可运行。ini配置文件记录程序运行的参数。如运行时没有配置文件会在exe文件目录生成初始配置的ini文件。
最低0.47元/天 解锁文章
扫一扫
1092
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
