Der RPCSS-Dienst versucht, sich auf verschiedenen Systemen im Netzwerk anzumelden

457
Alex

Vor kurzem haben wir festgestellt, dass einige unserer Server täglich rund 2000 Anmeldeversuche erhalten. Alle verwenden ein Administratorkonto, jedoch nur ein falsches Kennwort.

Beim Durchsuchen haben wir festgestellt, dass der RPC eines unserer Server (auf dem Windows Server 2012 r2 ausgeführt wird) diese Anmeldungen automatisch versucht. Wir haben versucht, den RPC-Dienst in der Firewall zu blockieren, jedoch ohne Erfolg.

Alle Optionen in der RPCSS zu den Anmeldekonten sind grau hinterlegt, daher lautet die Frage:

Was genau passiert gerade? Wie kann ich RPCSS davon abhalten?

Es sieht aus wie ein Angriff, aber da es den Benutzernamen nicht ändert, werden nur Versuche unternommen, ein Konto zu verwenden. Es sieht also so aus, als ob der Dienst es tut.

1

0 Antworten auf die Frage