タイトルの通りです。こちらの記事でSAP S/4HANA Trial(無料評価版)をAzureで構築したので、
翌日にリモートデスクトップ(RDP)から、
SAPGUIをインストールしているWindowsサーバにAdministratorユーザでログインしようとしたところ、
アカウントがロックされてログインできないとエラーメッセージが出ました。どうやらパスワードを規定の回数を間違えたのでロックされたようです。いや、一回しかログインしようとしてないし。
OSにログインできないとどうしようもないので、Azureポータル上からパスワードリセットすることにしました。この時はデフォルトで表示されたazureuserのパスワードをリセットしています。手順のリンクは以下になります。
https://learn.microsoft.com/ja-jp/troubleshoot/azure/virtual-machines/reset-rdp
azureuserでWindowsサーバにログインしてみたところ、やはりadministratorユーザがロックされていたので、”Account is locked out”のチェックを外してロックを解除しました。
そのままazureuserを使っても良かったのですが、念のためadministratorユーザでログインしようとしたところ、また同じエラーになりました。なにぃぃぃ!?
Securityログを確認したところ、グローバルIPアドレス”80.66.88.204″からパスワード攻撃を受けていることがわかりました。やはりパブリッククラウドのセキュリティは警戒が必要。一応簡単には破れないパスワードにしているので、今回はアカウントロックされる以外の被害に遭わずに済みました。(と言ってもTrail環境なので盗まれて困る情報は無いはずですが..)
最終的にはadministratorのユーザ名を変更したところ攻撃は収まりました。Windowsサーバ運用では基本的なことですが、ビルトイン管理者ユーザのadministratorのユーザ名は変更しておきましょう。
先ほどのIPアドレス”80.66.88.204″を検索してみたところ、やはり悪意のある攻撃だったようです。オランダからでした。
https://www.abuseipdb.com/check/80.66.88.204
