RDP ( ) 桌面遠程傳輸協議是一種多通道協議，允許用戶連接到提供 終端服務的計算機。使用的遠程數據傳輸協議是RDP（數據）可靠數據協議。因為它的默認端口是3389，所以在網絡工程師的口中被親切地稱為“3389”。簡單來說，通過3389端口遠程連接，讓你可以像操作自己的電腦一樣操作千里之外的電腦，隨心所欲。

美國網絡犯罪報告中心 (IC3) 與湖北 IT 公司 (DHS) 和聯邦調查局 (FBI) 合作，發布了有關可通過遠程桌面協議 (RDP) 進行的攻擊的安全警報。美國應急響應小組表示，攻擊者可能會破壞暴露的 RDP 服務以進行企業盜竊、安裝后門或作為其他攻擊的跳板。（跳板，簡單來說，就是隱藏你的地址服務器運維技術，讓別人找不到你的位置。） “

“黑客已經找到了識別和利用互聯網上易受攻擊的 RDP 會話來危害他人、竊取登錄憑據和勒索其他敏感信息的方法。聯邦調查局和國土安全部 (DHS) 建議企業和一些個體經營者應該及時檢查其網絡上允許的遠程訪問并采取預防措施，例如在不需要遠程訪問時禁用 RDP?！?/p>

多年來，有很多人在黑市上出售被黑的遠程桌面帳戶?，F在這筆交易仍在進行中。

據藍盟IT外包統計，2020年上半年以來，80%的被勒索軟件攻擊的中小企業，最致命的漏洞是“3389”端口。簡單來說，“3389”端口是IT運維人員遠程管理內網計算機的一種便捷方式。無需額外安裝軟件，只要開啟操作系統自帶的遠程桌面服務，即打開操作系統的3389端口即可。方便遠程操作和日常運維工作。如果想在外網操作企業內網的服務器，只需通過網關設備（路由器或防火墻）將服務器的3389端口發布到公網地址即可，即 只需連接企業公網地址的3389端口即可。您可以直接在企業內網上遠程操作相應的服務器設備。

既然“3389”這么好用，一些IT運維人員為了方便，會在網上公布重要服務器的3389端口，以便隨時操作，但安全性和方便性往往是矛盾的。遠程管理還有助于黑客進行遠程攻擊。黑客可以通過密碼爆破在3389端口上暴力破解服務器的管理員密碼（暴力猜測是暴力破解的方法，暴力破解的基本思路是根據一些條件確定答案的大概范圍題，并在此范圍內逐一驗證所有可能的情況，直到所有情況都被驗證。如果驗證后所有條件都不滿足問題的所有條件，則該問題無解。運維人員沒有更改管理員的默認賬號名（最常見的情況是管理員帳號密碼會在半天內更改。黑客通過遠程連接“3389”爆破！接下來是勒索軟件即服務 (RaaS)、中毒、加密和橫向傳播的常規例程。. . . . . . s 默認賬戶名（ ），密碼可以是弱密碼（長度小于10個字符，不包含大小寫字母和數字等特殊字符）。最常見的情況是管理員帳號密碼會在半天內更改。黑客通過遠程連接“3389”爆破！接下來是勒索軟件即服務 (RaaS)、中毒、加密和橫向傳播的常規例程。. . . . . . s 默認賬戶名（ ），密碼可以是弱密碼（長度小于10個字符，不包含大小寫字母和數字等特殊字符）。最常見的情況是管理員帳號密碼會在半天內更改。黑客通過遠程連接“3389”爆破！接下來是勒索軟件即服務 (RaaS)、中毒、加密和橫向傳播的常規例程。. . . . . . 接下來是勒索軟件即服務 (RaaS)、中毒、加密和橫向傳播的常規例程。. . . . . . 接下來是勒索軟件即服務 (RaaS)、中毒、加密和橫向傳播的常規例程。. . . . . .

可以說，對外發布的“3389”確實是勒索病毒攻擊中小企業的必經之路！那么我們該如何防御呢？

最好的辦法當然是堅決避免在外網發布“3389”，同時也避免在內網發布（如果客戶端被勒索病毒攻擊，勒索病毒會橫向移動到內網的3389端口）網絡服務器）。藍盟IT外包發布，至少推薦以下幾點：

* 設置密碼策略，強制使用強密碼，同時設置密碼嘗試輸入一定次數鎖定賬戶；

* 如需遠程管理，建議使用vpn或企業版遠程管理軟件；

* 及時更新補丁，確保服務器操作系統為最新版本；

* 部署安全軟件，自動屏蔽產生爆破行為的IP地址段，或開啟雙因素認證，增加爆破難度；

* 在網絡邊界部署具有IPS功能的防火墻設備服務器運維技術，可以識別掃描和爆破行為，獨立進行防御。

需要強調的是，將3389端口改為其他端口并不能阻止黑客的掃描和爆破攻擊，風險與默認的“3389”相同。如果您需要了解更多關于“3389”的信息，請聯系藍盟IT外包免費咨詢。

文/上海藍盟IT外包專家