Взломали сервер на Amazon ( AWS )
От: nobody1985  
Дата: 17.02.17 15:37
Оценка:
Есть у меня маленькая(t2.micro) виртуалка на AWS EC2 — там работают постоянно парочка программ.
Вчера что-то случилось и эти программы перестали работать — я полез разбираться и увидел что они почему-то закрылись.
Я полез разбираться в Event Viewer и нашел там неск. записей о RDP логине из левых стран ( Иран, Германия, Китай )
Значит ли это что сервер взломали? Как они вообще могли узнать пароль? И кому это вообще нафиг нужно (там ничего ценного нет)?

ОС — Windows Server 2003 SP2(знаю что старье, но зато она более-менее шевелится на такой слабой конфигурации как t2.micro)

Что сделать чтобы улучшить защищенность? Пароль уже сменил.

Вот фрагменты лога — там фигурируют какие-то T3ONAMI-PC и PETER-PC

Session reconnected to winstation:
User Name: Administrator
Domain: AMAZON-****
Logon ID: (0x0,0x5B871)
Session Name: RDP-Tcp#*****
Client Name: T3ONAMI-PC
Client Address: 37.156.139.*

Session reconnected to winstation:
User Name: Administrator
Domain: AMAZON-****
Logon ID: (0x0,0x35691F25)
Session Name: RDP-Tcp#*****
Client Name: T3ONAMI-PC
Client Address: 185.158.101.*

Session disconnected from winstation:
User Name: Administrator
Domain: AMAZON-****
Logon ID: (0x0,0x5B871)
Session Name: RDP-Tcp#*****
Client Name: PETER-PC
Client Address: 113.232.102.*

 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.