Benim merak ettiğim durum şu. Bu makinelere sızan kişiler sizin ip adreslerinizi nerden biliyor yani nasıl ulaşıyorlar.
Benim kişisel kullandığım windows 2008 var, ama böyle sorun olmadı o yüzden sordum.
ip bloklarından 21(ftp), 22(ssh),25(smtp), 80(http), 3389(rdp windows) bunlara durmadan istek gelir.
21,22,3389 a ise root ve Administrator şifre denemeleri gelir.
çok basit bir script ile socket testi yaparlar. eğer socket o portlarda cevap veriyorsa bu sefer saldırı başlar.
ana sunucularımdan birine(windows server 2012 r2) olay görüntüleyicide o kadar başarısız istek vardı ki. çoğu çin ip blokları üstünden geliyor.
bu arada NSA(abd deki kurumdan bahsediyorum) zaten windowslara çok rahat erişim sağlıyor. Bu virüsler başka açıklardan bulunan ve ismi benzer olan bir virüs. NSA nasıl izliyor derseniz snowdeni izleyin.
Korunmak istiyorsanız 3389 nolu portu değiştirin.