为什么安全组或者防火墙规则已经屏蔽了远程端口3389/RDP服务，但还是有被暴力破解的记录？-Windows相关-云服务器技术网

首页 Windows相关正文

为什么安全组或者防火墙规则已经屏蔽了远程端口3389/RDP服务，但还是有被暴力破解的记录？

2022-03-22 1026

为什么安全组或者防火墙规则已经屏蔽了远程端口3389/RDP服务，但还是有被暴力破解的记录？

阿里云/腾讯云等云服务器安全组已经屏蔽了远程端口如：3389，但是还是一致有扫描爆破的登录记录

为什么安全组或者防火墙规则已经屏蔽了远程端口3389/RDP服务，但还是有被暴力破解的记录？

由于Windows登录审核机制的原因， $IPC 、RDP、SAMBA服务的登录审核过程被记录在同一个日志里面，且未区分具体登录方式。

在已经屏蔽了RDP服务端口还出现RDP被暴力破解记录时，您需要检查是否还开启了其它两个服务。

检查方法是查看ECS是否有监听135、139、445等端口并且外网IP均可访问，并且查看Windows安全类日志是否在该时段有对应的登录记录。

原文链接：https://77isp.com/post/784.html

=========================================

https://77isp.com/ 为 “云服务器技术网” 唯一官方服务平台，请勿相信其他任何渠道。