Вычислить все терминальные сервера, которые доступны через Интернет, на самом деле не так и сложно. Существуют специальные программы - сканеры, которые выполняют эту функцию в автоматическом режиме, пока злоумышленник сидит на диване с чашкой чая и печенками или учит уроки, которые ему задали в школе. Но давайте попробуем понять всю процедуру более углубленно.
И так, для работы сетевых служб необходимо открыть во внешний мир некий канал. Этот канал называется портом. Каждый порт имеет свое предназначение и именно по нему зачастую происходит идентификация работающего сервиса. Так, например для того же RDP? по умолчанию используется порт 3389. Зная это, достаточно просто запустить сканер открытых портов и все устройства имеющие открытый порт 3389, буду добавлены в список для дальнейшей работы.
Многие меняют этот порт по умолчанию на какой-то другой, например вместо 3389, пробрасывают как внешний порт 54773, надеясь защититься. Узнать, как изменить порт в TSPlus можно здесь. Да, это помогает от злоумышленников, которые поленились найти другой сканер или сам злоумышленник младше 5 класса. В ином случае, боты или сканеры, просто пытаются установить соединение на не известный порт и если вдруг там ответить "Terminal Services", то собственно список злоумышленника пополнится новой жертвой.
Вы можете уже на этой стадии предотвратить попытку взлома, защитившись от сканеров портов и отключив ICMP, чтобы ваш сервер или роутер попросту не признавался злоумышленнику, что он есть. Но как показывает практика, этим все стараются пренебречь. Действительно, а зачем? Это других ломают, а у меня все хорошо...
После составления списка таких устройств с открытым RDP, к ним начинают применять различные попытки взлома. Самый популярный - это брутфорс. Говоря иными словами, идет подбор сперва паролей по словарю, а затем начинают перебираться пароли генерируемые автоматически по порядку.
На этом этапе, Вы так же можете защититься от злоумышленников. Как только будет засечена попытка перебора паролей (неудачные входы), эти IP адреса будут просто блокироваться. Но и тут многие пренебрегают этими защитами. Действительно, ведь "у меня сложный пароль qwerty123456" пусть подбирают сколько угодно.
Как правило, взлом происходит не с какого-то конкретного компьютера, а использую ботнеты. По сути, это компьютеры расположенные по всему миру, зачастую это компьютеры обычных пользователей. И даже Ваш, с которого вы сейчас читаете эту статью, может быть инфицирован трояном, который в свою очередь в данный момент подбирает пароли к очередной "жертве".
Помните, злоумышленники как правило не охотятся за Вашей информацией, которая им вовсе не нужна. Они охотятся за Вашим кошельком, который вы откроете сразу, как только поймете, что вы потеряли свою работу или фотографии, которых больше нигде нет. Или вовсе база данных 1С с данными за последние 5 лет работы.
Берегите себя и свою информацию и не пренебрегайте хотя бы самыми простыми методами защиты. А если у вас нет специалиста, то используйте готовое программное обеспечение для обеспечения безопасности Ваших данных.