黑客是如何通过RDP远程桌面服务进行攻击的

Makost.net是一个主要贩卖服务器的论坛，主要是安装了windows系统并且可以使用微软的远程登录服务连接的服务器。Windows有自己的RDP内置接口，可以连接到任何一台连接internet并且有一个合法的外网IP，并且输入正确的用户名密码。连接后，就会看到远程计算机的桌面，就像你坐在他的计算机旁边一样，当然可以访问其所有的程序和文件。

Makost论坛通过CPU数量，操作系统版本和电脑的上传和下载速度来区别价格，价格范围从3刀-10刀+不等。

  Makost目前正在销售的主机数量超过6000。正如此图显示来看，黑客会根据服务器的不同而定价：
·市，州，国家;
·用户的权限;
·操作系统版本;
·计算机处理器速度;
·系统内存;
·网络下载和上传速度;
·NAT或者其他

KrebsOnSecurity看到里面一个非常活跃的用户的账户的服务,一个支付超过2000美元的人在过去的6个月购买约425黑RDPs。我把互联网地址在这个客户的购买历史,跑上WHOIS数据库查找它们,以了解更多关于受害者的组织。正如所料,大约四分之三的这些地址告诉我对受害者;地址被分配到住宅或商业互联网服务提供商。 我通过查找一个客户的购买记录的Internet地址，企图了解更多有关受害者的信息， 正如预期的那样，大约四分之三的地址是未知的，这些地址被分配到住宅或商业互联网服务提供商那里。这个名单上的最大群体是在制造业（21受害者）和零售服务（20）行业。

一份报告说：“使用第三方软件比如终端服（termserv）或远程桌面协议（RDP），pcAnywhere，虚拟网络客户端（VNC）远程访问应用程序时，如果这些程序是启用的，攻击者就可以访问它们，攻击者就像是合法的系统管理员。” 攻击者通过简单的扫描IP地址段，查询开放了某个端口的有哪些主机响应，一旦有开放的远程管理端口，就可以使用弱口令等弱点探测方式来进一步攻击。 读到这里，你应该很清楚黑客是如何使用rdp攻击的。像这样的兜售服务器的网站太多了，这些组织分工明确，行动很隐蔽。幸运的是，你的主机在收到外部端口扫描的时候会向你警报。