Diese Hacker...
Jaja, kaum hat man einen neuen Server in's Internet gestellt, kommen auch schon die ersten Hacker daher und versuchen das Gerät zu übernehmen:
In Graylog sieht man das sehr schön. Hier versuchen einige über RDP auf meinen Server zuzugreifen. VPN zur Abwehr derartiger Angriffe ist hier sicher die Wahl. Ich wollte was anderes ausprobiern.
Windows Server hat ja eine Firewall, da gibt's Regel, die den Zugriff via RDP auf den Server steuern. Hier kann man alle Zugriffe stoppen, die nicht von einer bestimmten IP-Adresse kommen. Nun hab' ich Zuhause keine fixe IP-Adresse. Über duckdns.org registriere ich regelmäßig meine dynamische Adresse. Daher die einfache Idee: Da die Regeln in der Firewall keine Namen zulassen (sondern nur IP-Adressen), muss man halt ein Powershell-Script schreiben, das zuerst die IP-Adresse über DNS holt und diesen Wert dann in die gültige Remote-Address einträgt. Also ganz einfach zu schreiben:
Und das Ergebnis ist auch sofort sichtbar:
Und wieder ist die Welt ein Stückchen besser :)
Wollen auch Sie wissen, wie Graylog als Analysetools derartige Angriffe erkennt und wollen Sie sich dagegen schützen? Dann nehmen Sie einfach Kontakt mit mir auf!