今天,我的数据库服务器意外重启。查了一下,发现从12月初就收到了这个事件,Network Threat Protection Event。这是活动
Object detected.
Object name: 64.76.157.3:51747 (different IP every time).
Object type: N/A.
Severity level: high.
Certainty level: complete signature match.
Detected object type: network attack.
Detected: Bruteforce.Generic.Rdp.d.
Task name: Network Threat Protection.
User name: N/A.
Computer name: DB01.
Process: 192.168.0.11:3389.
PID: 6.
该服务器是 5 个服务器的一部分,它们具有相同的公共 IP,每个服务器都有不同的端口,所有服务器都收到了事件。所以,我的问题是:攻击者是否必须知道公共 IP 才能进行攻击?我怎样才能知道攻击的来源?另外,由于我没有防火墙设备,我是否需要放置防火墙设备。
活动图片
如果您将 RDP 公开到 Internet,则预计会出现这种消息。是时候断开 RDP 与互联网的连接了,因为网络犯罪分子积极利用 RDP 来攻击远程组织,攻击者正在寻找暴露的 RDP 服务器,狼已经在你家门口,而且在 COVID-19 大流行期间对互联网暴露的 RDP 服务器的攻击也在激增. 我认为您开始了解RDP 的安全风险。不要暴露 RDP!
通常数据库服务器也不直接连接到 Internet,除非明确需要直接访问;可能有单独的应用程序服务器作为数据库服务器的客户端,并且可以将数据库访问限制在这些服务器上。如果数据库在同一台服务器上,则可以通过本地环回等方式访问。这种访问控制将强化您的基础架构并提高其整体安全性。