Недавно мы заметили, что некоторые из наших серверов ежедневно получают около 2000 попыток входа в систему. Все они используют учетную запись администратора, только с неправильным паролем.
Оглядываясь вокруг, мы обнаружили, что RPC одного из наших серверов (под управлением Windows Server 2012 r2) пытается автоматически выполнить эти входы в систему. Мы пытались заблокировать службу RPC на брандмауэре, но безуспешно.
Любые параметры в RPCSS для учетных записей входа серого цвета, поэтому вопрос:
Что именно происходит? Как я могу остановить RPCSS от этого?
Это похоже на атаку, но, поскольку оно не меняет имена пользователей, а только пытается использовать одну учетную запись, похоже, что это делает служба.