Николай, я так понял, что, как вы говорите, «наружу» у вас открыт RDP на ваш сервер terra.mulder.kiev.ua? Могу и ошибаться, много времени не тратил, но…
nmap -sS terra.mulder.kiev.ua
Starting Nmap 6.00 ( nmap.org ) at 2013-05-31 03:06 MSK
Nmap scan report for terra.mulder.kiev.ua (82.144.210.53)
Host is up (0.036s latency).
Not shown: 994 closed ports
PORT STATE SERVICE
85/tcp filtered mit-ml-dev
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
3389/tcp filtered ms-wbt-server
Вы-то правильно приняли меры, чтобы наружу всем не торчало — фильтруете.
У вас даже web-сервер на 85-ом порту не всем доступен. Так все-таки открыт, либо МЭ блочит все подключения к RDP, кроме другого вашего статика, или адреса, которому вы открыли доступ по заявке с сайта? Это кстати подвожу к тому, что если ничего не ограничивает пулять в RDP-сервер извне, то любой скрипт-кидди сможет написать use auxiliary/dos/windows/rdp/ms12_020_maxchannelids где нужно. А завтра, что-нибудь еще. И тут вопрос не в скорости патчевания — они априори реактивны, сналача нашли уязвимость, потом появился патч. Можно ставить все патчи, но вот только они часто появляются после паблика эксплойта.
Атак-серфэйс в прошлом году был большой. Пример. Писались целые бот-сети на скан RDP и захват через него компов по ms12_020.
nmap -sS terra.mulder.kiev.ua
Starting Nmap 6.00 ( nmap.org ) at 2013-05-31 03:06 MSK
Nmap scan report for terra.mulder.kiev.ua (82.144.210.53)
Host is up (0.036s latency).
Not shown: 994 closed ports
PORT STATE SERVICE
85/tcp filtered mit-ml-dev
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
3389/tcp filtered ms-wbt-server
Вы-то правильно приняли меры, чтобы наружу всем не торчало — фильтруете.
У вас даже web-сервер на 85-ом порту не всем доступен. Так все-таки открыт, либо МЭ блочит все подключения к RDP, кроме другого вашего статика, или адреса, которому вы открыли доступ по заявке с сайта? Это кстати подвожу к тому, что если ничего не ограничивает пулять в RDP-сервер извне, то любой скрипт-кидди сможет написать use auxiliary/dos/windows/rdp/ms12_020_maxchannelids где нужно. А завтра, что-нибудь еще. И тут вопрос не в скорости патчевания — они априори реактивны, сналача нашли уязвимость, потом появился патч. Можно ставить все патчи, но вот только они часто появляются после паблика эксплойта.
Атак-серфэйс в прошлом году был большой. Пример. Писались целые бот-сети на скан RDP и захват через него компов по ms12_020.