RDP Atakları için Bilinen Kötü IP Adresleri

Bundan 5 ay önce aşağıdaki gibi bir makale yazmıştım. Amacım RDP tarafındaki tehlike konusunda farkındalık oluşturmaktı. Her ne kadar uyarı yapsakta insanların çok ciddi manada hala dışarıya açık RDP portlarının olduğunu gördüğüm için en azından basit bir kaç adım ile bunları nasıl koruyacaklarını anlattım. Fakat bu makale için kurduğum makine ilginç bir şekilde bu güne kadar kapanmadı, yani daha doğrusu yem olarak makineyi açık bıraktım ve ısrarla atak yapıldığını gördüm. 2 Kasım 2019 itibari ile bu rakam 6257 oldu. Yani 5 ayda 6257 “farklı” ip adresinden RDP portum için şifre denemeleri yapılıyor.

Aslında bunu ara ara twitter hesabımdan ( https://twitter.com/hakanuzuner ) paylaştım. Bunu gören bazı arkadaşlarım bana bu ip adreslerini neden paylaşmıyorsun dedi? Süper fikir dedim ve aşağıdaki gibi basit iki Powershell komutu ile bu ip adreslerini aldım. Bunu düzenli aralıklar ile güncellemeye karar verdim. İlk sürüm bu postum ile beraber sizlerle.

Önce kuralda tanımlı ip adreslerini görebilirsiniz

Get-NetFirewallRule -DisplayName “Block RDP Attackers” | Get-NetFirewallAddressFilter

Tabi bunun pek bir anlamı yok, çünkü bize ip adresleri lazım, madem öyle komutu şu şekilde geliştiriyoruz

Get-NetFirewallRule -displayname “Block RDP Attackers” | Get-NetFirewallAddressFilter | select -ExpandProperty RemoteAddress > c:\komut\badip.txt

Ve karşınızda tüm ip adreslerini görebiliyorsunuz.

Dosyaya aşağıdaki link üzerinden ulaşabilirsiniz.