Exchange 2010 RPC over HTTPS unzählige Loginversuche - wie beseitigen?
Hallo,
ich habe seit zirka zwei Tagen das Problem, dass bei einem unserer Exchange Server (dem CAS) unzählige RPC Anfragen auflaufen.
Diese Anfragen legen den ganzen Server lahm (100% CPU Last), bis der RPC Dienst neugestartet wurde.
Das Logfile des RPC Dienstes für Exchange ist gefüllt mit Anfragen von Usernamen wie:
user400809fc
user39c08aad
user39c08aad
user4573acc0
Sieht für mich wie Passwort ausprobieren aus.
Was kann ich tun damit diese Logins nicht mehr auftauchen und wie kann ich meinen Exchange mit aktivierten RPC over HTTPS gezielt gegen so etwas absichern?
Müsste das nicht eigentlich die Intrusion Detection der Sonicwall abwimmeln?
Danke.
Grüße
platin
ich habe seit zirka zwei Tagen das Problem, dass bei einem unserer Exchange Server (dem CAS) unzählige RPC Anfragen auflaufen.
Diese Anfragen legen den ganzen Server lahm (100% CPU Last), bis der RPC Dienst neugestartet wurde.
Das Logfile des RPC Dienstes für Exchange ist gefüllt mit Anfragen von Usernamen wie:
user400809fc
user39c08aad
user39c08aad
user4573acc0
Sieht für mich wie Passwort ausprobieren aus.
Was kann ich tun damit diese Logins nicht mehr auftauchen und wie kann ich meinen Exchange mit aktivierten RPC over HTTPS gezielt gegen so etwas absichern?
Müsste das nicht eigentlich die Intrusion Detection der Sonicwall abwimmeln?
Danke.
Grüße
platin
Please also mark the comments that contributed to the solution of the article
Content-Key: 204664
Url: https://administrator.de/contentid/204664
Printed on: May 6, 2024 at 01:05 o'clock
1 Comment
Moin platin,
steht der Server direkt im Internet?! Wird RPC benötigt?
Ansonsten einfach einen Reverse Proxy (z.B. Squid) vorschalten. Somit sollte die Last erstmal vom Exchangeserver verschwinden. Den RP so konfigurieren, dass es vorab prüft ob der Benutzer RPC nutzen darf. Evtl. könnnte man mit fail2ban auch noch was schönes zaubern.
Grüße,
Dani
steht der Server direkt im Internet?! Wird RPC benötigt?
Ansonsten einfach einen Reverse Proxy (z.B. Squid) vorschalten. Somit sollte die Last erstmal vom Exchangeserver verschwinden. Den RP so konfigurieren, dass es vorab prüft ob der Benutzer RPC nutzen darf. Evtl. könnnte man mit fail2ban auch noch was schönes zaubern.
Grüße,
Dani