Welk proces of service blokkeren ?

Status
Niet open voor verdere reacties.
hoogteijling

hoogteijling

Terugkerende gebruiker
Lid geworden
12 aug 2005
Berichten
4.261
Hallo allemaal,

Al enige tijd gebruik ik op onze SBS2008 server een script om firewall regels te maken om IP adressen te blokkeren die geprobeerd hebben toegang te krijgen tot onze server.
event4625.png

Het gaat om de zgn Brute-Force attacks.
In het verleden blokkeerde ik het complete IP bereik.
Wanneer ik bijv. constateer in de logs dat IP adres 87.2.68.32 toegang heeft proberen te krijgen tot onze server dan blokkeer ik in de firewall 87.0.0.0/11 waardoor IP adres 87.0.0.0 t/m 87.15.255.255 geblokkeerd wordt.

In het verleden kwam het voor dat een websiteadres binnen deze range viel waardoor wij ook geen toegang meer kregen tot die website.
Ik probeer dit af te vangen door alleen een bepaald programma of service te blokkeren voor die bewuste IP range.

Ik weet echter niet welke service of programma ik in de firewall moet zetten om te blokkeren.
Ik heb Terminal Services al geprobeerd te blokkeren maar na enkele dagen zie ik toch weer dat IP adres binnen de range probeert in te breken.
terminalservices.png

Weet iemand welk proces of service er gebruikt wordt om toegang te krijgen tot onze server ?

Groeten Marcel
 
ik zal eerder een antivirus ofzo opzoeken,, miss mbam en anders op het internet opzoeken naar mensen die je professioneel kunnen helpen,,
het is een server en dingen blokkeren betekent ook dat je dat prob niet hebt maar opeens andere,,

kenny
 
Bedankt voor je advies maar we hebben uiteraard al een antivirus.
Ik probeer alleen de antivirus wat aan te scherpen door het configureren van de firewall.
MBAM installeer ik niet op de server omdat dit probleem/vraag niets met spy- of adware te maken heeft.
Door het blokkeren van IP adressen uit allerlei exotische landen verwacht ik niet andere problemen terug te krijgen.
Ik wil gewoon bepaalde IP adressen blokkeren in combinatie met een service of programma.

Groeten Marcel
 
Uiteindelijk heb ik besloten om het RDP poortnummer (3389) te veranderen naar een ander nummer.
Na dit gedaan te hebben zijn de aanvallen helemaal weg gebleven.

Bedankt voor het meedenken in ieder geval :)

Groeten Marcel
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan