Заражение вирусом через RDP

Описание проблемы:

На сервере установлено не специфичное ПО, изменился пароль от RDP, созданы новые пользователя в Windows, которые не создавал системный администратор.

Подобные ситуации могут возникнуть по причине того, что RDP подключение осуществляется через стандартный порт, либо используется легко подбираемый простой пароль. Не используйте стандартные либо простые пароли на всяком оборудовании, доступ к которому может быть получен из внешней сети. Будь то роутер, NAT-устройство, Firewall и др.

Способы обеспечения безопасности:

Необходимо поменять пароль на цифро-буквенный длиною не менее восьми знаков и ограничить доступ к серверу Oktell по RDP (по умолчанию, порт 3389) и обозначить только те IP адреса, которые могут осуществить вход на сервер.

Запретите прием запросов от неизвестных IP-адресов по открытым портам (Подробнее в статье http://wiki.oktell.ru/Порты,_используемые_системой). Разрешите прием запросов только от тех IP-адресов, которые относятся к вашим сотрудникам. Однако, будьте осторожны - некоторые сотрудники могут использовать веб-клиент Oktell, а значит и расширяется список возможных IP-адресов. Проверить порты слушателей можно с помощью командной строки:

netstat -anop tcp

netstat -anop udp

netstat -anop tcp | find "3389"

Выключите службы на вашем сервере, которые не нужны для работы Oktell. Включенные службы, работающие на открытых портах могут быть подвергнуты DDOS-атаке. Проверить какие службы и процессы используются, вы можете также с помощью командной строки.

Можно держать сервер на внешнем IP-адресе, можно реализовывать на нем произвольные сервисы, обслуживать все неизвестные звонки, но при этом следует помнить о возможных типах атак и предпринимать ограничения, с ними связанные. Мы рекомендуем выстраивать систему безопасности вокруг АТС по возможности в соответствии с принципом: «разрешить тем, кому можно», а не «запретить тем, кому нельзя».