从RDP爆破定位内部攻击者(3)

（4）定位内部攻击者
在跳板机上找到了npc连接日志，存在各种公网ip尝试爆破3389的记录，找到最早的访问日志，包括访问内部的相关网站和服务器，初步怀疑为内部相关人员。找到这几台服务器相关的管理员，确认了一下，出于对外网运维访问的需求，私自配置了内网穿透工具，将内网端口映射到了公网。

03、安全总结
通过内网穿透工具，绕过了原有的网络限制，从而变相地把内网端口发布到公网了。一般情况下，这是由攻击者发起的，一旦发现就100%意味着服务器已沦陷。但是，内部人员、第三方供应商也常常会做出类似的违规操作，这将给内网带来极大的风险。
如何有效检测端口转发、内网穿透、远控软件等行为，然后进一步判断攻击行为或者违规行为，这是一件很急迫的事。