Attaque de force brutale présumée

Récemment, j'ai acquis un server dédié d'un FAI local pour jouer avec. Comme le suggèrent les tags, il s'agit d'une machine Windows Server 2008 R2.

Je ne l'ai eu que pendant quelques jours, et aucun trafic réel ne l'est encore. Je n'ai même pas encore déployé un site Web "réel". Juste une page stupide afin que je puisse vérifier IIS, mes en-têtes d'hôtes, les loggings DNS, etc. sont tous configurés correctement.

Tout en jouant, j'ai remarqué une tonne d'échec d'audit dans les journaux de security des téléspectateurs. Il semble que quelque chose tente d'accéder au count d'administrateur et à défaut. Il me sent comme une attaque de force brute.

Mon FAI m'a donné les détails du count d'administrateur et j'ai utilisé ceux de RDP dans la boîte, ce que j'ai entendu n'est pas la plus sécuritaire des situations.

Je me suis créé un autre count et je me suis ajouté au groupe d'administrateurs, alors j'utilise ce count pour pouvoir accéder à la machine maintenant.

En réponse à cela, j'ai utilisé http://strongpasswordgenerator.com/ pour me générer des passwords forts de 20 caractères et modifié tous les passwords de mon count, même l'user SQL sa.

J'ai également activé la fonction d'interdiction automatique de FileZillaServer (mon server FTP)

Mes questions: 1) Comment puis-je détecter ce genre de chose mieux? 2) Comment puis-je protéger mieux mon server contre l'access non autorisé?

PS: Je suis un logiciel de développement, pas un système informatique, alors pensez à mon server de security idiot-ness-ness

Vérifiez que le pare-feu bloque tout sauf le port 80 … c'est la première étape …. Si RDP est accessible au public, c'est un gros problème (restreindre RDP à votre source IP …)