А нехуй на стандартных портах наружу публиковать.
Это уже давно не решение, сканируют обычно подряд все порты, брутят все и RDP и SSH итд. Даже просто выставить страницу с логином за которым ничего нет и тот брутить начинают.
Если логировать можно хороший словарь для брута составить.
Несколько лет назад было с Win 2016. Значит надо в дмз выставить виндовый сервак не в домене с белым ай-пи. Там будет некий софт на .NET с веб-мордой, открыты должны быть только 2 порта 80 с редиректом 443.
На ESXi развернул винду 2016, поставил все апдейты, закрутил встроеный файрвол, только 2 порта. Встал вопрос доступа, девелопер из другой конторы должен удалено подключится, поставить софт, настроить IIS и все.
Работы на пару часов. Сетевики решили впн для него не создавать, а просто выставим RDP со сложным паролем, он там настроит, поставит и закроем. Юзернейм сложный типа A.Tsinamgvrishvili пароль тоже 15 знаков со всеми символами.
Все по бест-практис. Встроеного администратора не отключал, просто тоже пароль сложный задал. Созвонился с девелопером, СМСом переслал ему данные для доступа. Через минут 15 звонит, меня выкинуло и не могу зайти.
Я как то сразу подумал, что то подозрительно, отключил машину от сети и зашел локальным админом с консоли.
По логам, с израильского ай-пи некто заходит его логином, его выкидывает, меняет пароль, локального админа не трогает, добавляет своего pepsico-admin, на десктопе делает папку "контр-страйк 1.6". Но самой игры там нет а какие то
экзешники. Встроеный дефендер на них не реагирует, другой антивирус тут же детектирует их как трояны малвары. Не стал дальше морочится, просто удалил ВМ и создал новую, сетевиков заставил сделать впн для девелопера временный.
По факту никакого брута не было, просто как то перехватили сессию или внедрились в уже существующую.
Понятно, что публиковать RDP не лучшая идея, но иногда приходится. Да линуксы тоже ломают.
