Как понять, что ваш сервер скомпрометирован через RDP: реальные признаки и что делать дальше

Как понять, что ваш сервер скомпрометирован через RDP: реальные признаки и что делать дальше

Вы просыпаетесь утром, открываете удалённый доступ к серверу — и видите, что кто-то зашёл в 3:17 ночью. Логин — не ваш. Файлы перемещены. База данных уменьшилась на 12 ГБ. Вы не включали RDP. Не запускали сессию. И всё же — кто-то был там.

Это не фантазия. Это реальность, с которой сталкиваются админы, владельцы малого бизнеса, IT-специалисты в стартапах. RDP — это удобный инструмент, но если его оставить открытым без защиты, он становится дверью, через которую хакеры входят без ключа. И чаще всего они не взламывают пароль — они просто заходят, потому что его никто не менял с 2018 года.

В этой статье — только то, что нужно знать, чтобы понять: ваш сервер скомпрометирован через RDP. Не теория. Не общие советы. Конкретные признаки, которые вы можете проверить прямо сейчас. И что делать, если они есть.

Что вообще происходит, когда RDP скомпрометирован?

Когда злоумышленник получает доступ к RDP, он не просто «посмотрел» на экран. Он получает полный контроль. Как будто сел за ваш компьютер. Он может:

• Устанавливать программы — включая шифровальщики, боты, трояны;
• Копировать файлы — особенно базы данных, логины, ключи доступа;
• Создавать новых пользователей с правами администратора;
• Отключать антивирус и журналы событий;
• Использовать ваш сервер как прокси для атак на других.

Важно: они не всегда оставляют следы. Хорошие хакеры знают, как стирать следы. Но они не идеальны. И вот где вы можете поймать их.

7 реальных признаков компрометации через RDP

Это не «возможно» или «вероятно». Это — то, что вы можете проверить прямо сейчас. Откройте сервер, запустите PowerShell от имени администратора и идите по списку.

1. Неизвестные сессии в журнале событий
   Откройте Event Viewer → Windows Logs → Security. Ищите события с ID 4624 (успешный вход) и 4634 (выход). Смотрите на поле Logon Type. Если там 10 — это RDP-сессия. Ищите логины, которых вы не знаете. Особенно — если вход был ночью, в выходной или в 3:17 утра.
2. Новые пользователи в системе
   Откройте командную строку и введите: net user. Сравните список с тем, что у вас было вчера. Если появился пользователь типа Admin123, TempUser, backup — это красный флаг. Даже если он «отключён» — он может быть активирован в любой момент.
3. Подозрительные службы
   В командной строке: sc query state= all | findstr "SERVICE_NAME". Ищите службы с именами вроде WinUpdateService, RemoteControl, MSExchange — если вы не используете Exchange. Запустите sc qc ИМЯ_СЛУЖБЫ — посмотрите путь к исполняемому файлу. Если он лежит в C:\Users\Temp\ или C:\Windows\Temp\ — это не легитимная служба.
4. Неожиданные изменения в реестре
   Откройте regedit. Перейдите в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Проверьте ключ Shell. Он должен быть explorer.exe. Если там что-то вроде c:\windows\temp\svchost.exe — ваш сервер уже не ваш.
5. Резкое увеличение трафика
   Зайдите в диспетчер задач → вкладка «Производительность» → «Сеть». Если вы не скачиваете файлы, не делаете бэкапы, а трафик вырос в 5–10 раз — кто-то использует ваш сервер как прокси или для выкачки данных. Особенно тревожно, если трафик идёт на IP-адреса из России, Китая, Украины, Бразилии — если вы не работаете с этими регионами.
6. Файлы с расширением .exe или .dll в папках, где их быть не должно
   Проверьте: C:\Windows\Temp\, C:\Users\Public\, C:\ProgramData\. Если там появились файлы с именами вроде svchost.exe, lsass.exe, dllcache.dll — это поддельные копии системных файлов. Хакеры кладут туда вредоносные программы, чтобы выглядеть как легитимные процессы.
7. Отключённый журнал событий
   Зайдите в Event Viewer → Windows Logs. Если журналы Security или System пустые — или вы не можете их открыть — это не сбой. Это умышленное удаление следов. Проверьте, не отключён ли сбор событий: wevtutil gl Security. Если enabled = false — ваш сервер уже в чужих руках.

Таблица: что проверить и как быстро

Что делать, если вы нашли признаки компрометации?

Не паникуйте. Не перезагружайте сервер. Не пытайтесь «починить» — вы можете уничтожить доказательства.

Шаг 1: Изолируйте сервер
Отключите его от сети. Физически. Или через firewall — заблокируйте все исходящие и входящие подключения. Даже RDP. Пока вы не знаете, что именно делает злоумышленник, он может запустить шифровальщик, уничтожить логи или отправить данные за границу.

Шаг 2: Сделайте снимок системы
Запустите diskshadow и создайте образ диска C:. Или скопируйте файлы в безопасное место — но только если вы уверены, что не скопируете вирус. Лучше — снимок в режиме «только чтение».

Шаг 3: Проверьте, не использовались ли ключи доступа
Если вы используете RDP с сертификатами, SSH-ключами, токенами — смените их всё. Даже если они не связаны с этим сервером. Хакеры часто крадут ключи и используют их для доступа к другим системам.

Шаг 4: Пересоздайте сервер
Да, вы не ослышались. Не пытайтесь «почистить» заражённый сервер. Он уже не доверенный. Даже если вы удалите файлы, в реестре останутся следы, службы могут быть перехвачены, а в памяти — скрытые процессы. Лучше — переустановить ОС с нуля. Или восстановить из чистого бэкапа, сделанного до момента компрометации.

Частые ошибки — и почему они усугубляют ситуацию

• «Я просто сменю пароль»
  Хакер уже создал нового пользователя. Или установил обратный шелл. Пароль не спасёт.
• «Я перезагружу сервер — всё пропадёт»
  Перезагрузка не удаляет вредоносный код. Он может быть в загрузчике, в прошивке, в памяти. И при запуске снова активируется.
• «Я проверю только RDP-логи»
  Хакеры часто отключают журналы. Если вы смотрите только на них — вы не увидите ничего. Нужно проверять и файлы, и службы, и реестр.
• «Я не знаю, кто это был — не буду сообщать»
  Если вы храните персональные данные клиентов — вы обязаны сообщить о нарушении. В РФ — по ФЗ-152, в ЕС — по GDPR. Молчание — это юридический риск.
• «Я просто закрою RDP — и всё будет в порядке»
  Закрытие RDP не убирает вредоносный код. Он может работать через другие каналы — HTTP, SMB, DNS-туннели. Вы просто перестанете его видеть.

Что выбрать в зависимости от ситуации

Вы не можете сделать всё сразу. Вот как действовать, если вы:

Ситуация 1: Вы админ в маленькой компании, RDP открыт наружу, без MFA
→ Сразу закройте RDP для публичного доступа. Включите VPN. Разрешите RDP только через VPN. Смените все пароли. Проверьте журналы за последние 30 дней. Если найдёте хоть один подозрительный вход — пересоздавайте сервер.

Ситуация 2: Вы используете RDP для доступа к серверу из дома, пароль — слабый, но вы не видели подозрительных событий
→ Включите двухфакторную аутентификацию (MFA) для RDP. Установите Network Level Authentication (NLA). Ограничьте доступ по IP — только ваш домашний IP. Проверьте журналы за последние 7 дней. Если всё чисто — вы в безопасности. Но не расслабляйтесь.

Ситуация 3: Вы работаете с медицинскими или финансовыми данными, и подозреваете компрометацию
→ Немедленно изолируйте сервер. Запросите аудит у специалиста по кибербезопасности. Не пытайтесь делать это сами. Даже если вы опытный админ — в таких случаях нужен независимый эксперт. Срок ответа — 72 часа по закону.

Как лучше сделать: 5 шагов, чтобы RDP не стал вашей слабой точкой

Не ждите, пока что-то случится. Делайте это сейчас.

1. Отключите RDP для публичного доступа
   Если вы не работаете извне — закройте порт 3389 на фаерволе. Используйте VPN для доступа. Это снизит риск атаки на 95%.
2. Включите NLA (Network Level Authentication)
   Это требует аутентификации до установки сессии. Без этого даже слабый пароль не даст доступ. Проверить: System Properties → Remote → Allow connections only from computers running Remote Desktop with Network Level Authentication.
3. Используйте MFA
   Даже если вы используете VPN — включите двухфакторную аутентификацию. Используйте Microsoft Authenticator, YubiKey или SMS (если нет выбора). Без MFA — пароль — это не защита.
4. Ограничьте доступ по IP
   На фаерволе разрешите RDP только для ваших офисных IP. Если вы работаете из дома — добавьте статический IP. Не разрешайте доступ с любых адресов.
5. Регулярно проверяйте журналы
   Каждую неделю — смотрите события 4624 и 4625. Настройте уведомления на подозрительные входы (например, в 3 часа ночи, с нового IP, с неизвестного пользователя). Используйте бесплатные инструменты вроде EventLog Explorer или Splunk Free.

Итог: что делать прямо сейчас

Если вы читаете это — у вас есть шанс. Не ждите, пока кто-то украдёт базу данных. Не надейтесь, что «всё будет хорошо».

Сделайте это прямо сейчас:

1. Откройте Event Viewer → Security → найдите все события 4624 с Logon Type 10.
2. Запустите net user — проверьте, есть ли незнакомые пользователи.
3. Проверьте, включён ли NLA в настройках удалённого доступа.
4. Заблокируйте порт 3389 на фаерволе — если вы не используете RDP извне.
5. Если нашли хоть один подозрительный вход — изолируйте сервер и начните восстановление.

Если вы не уверены — не пытайтесь чинить самостоятельно. Позовите специалиста. Лучше потратить 10 000 рублей на аудит, чем 500 000 на восстановление после шифровальщика.

RDP — это не враг. Это инструмент. Как нож. Если вы оставите его на кухне без присмотра — кто-то им воспользуется. Закройте его, когда не используете. Проверяйте, кто им пользуется. И не думайте, что «у меня всё в порядке» — пока не проверите.

Информация в этой статье носит ознакомительный характер. При подозрении на компрометацию системы или утечке данных рекомендуется обратиться к специалисту по информационной безопасности для проведения аудита и восстановления.