{"id":3726,"date":"2026-04-02T22:18:44","date_gmt":"2026-04-02T19:18:44","guid":{"rendered":"https:\/\/livespace.arbat.name\/?p=3726"},"modified":"2026-04-03T22:36:55","modified_gmt":"2026-04-03T19:36:55","slug":"%d0%ba%d0%b0%d0%ba-%d0%bf%d0%be%d0%bb%d0%be%d0%b6%d0%b8%d1%82%d1%8c-%d0%b2%d0%b5%d1%81%d1%8c-botnet-%d0%bd%d0%b0-windows-rdp-%d0%b7%d0%b0-%d0%b4%d0%b5%d1%81%d1%8f%d1%82%d1%8c-%d0%bc%d0%b8%d0%bd%d1%83","status":"publish","type":"post","link":"https:\/\/livespace.arbat.name\/?p=3726","title":{"rendered":"\u0425\u0440\u043e\u043d\u0438\u043a\u0438 RDP-\u0442\u044e\u0440\u044c\u043c\u044b: \u041a\u0430\u043a \u0443\u0441\u043c\u0438\u0440\u0438\u0442\u044c \u0431\u043e\u0442\u043d\u0435\u0442 \u0437\u0430 10 \u043c\u0438\u043d\u0443\u0442"},"content":{"rendered":"

\u041f\u043e\u0441\u043b\u0435 \u0442\u043e\u0433\u043e, \u043a\u0430\u043a \u044f \u043e\u0447\u0435\u043d\u044c \u0447\u0435\u0442\u043a\u043e (\u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0438\u0432\u043d\u043e \u0438 \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u043e) \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u043b\u0441\u044f \u0443 \u0441\u0435\u0431\u044f \u0441 botnet \u043d\u0430 \u041b\u0438\u043d\u0443\u043a\u0441\u0435<\/a> (\u0432 \u043f\u043b\u0430\u043d\u0435 \u0430\u0442\u0430\u043a \u043d\u0430 bind, nginx, postfix, sshd \u0438 \u0442.\u043f. \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0434\u043e\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043d\u043e\u0433\u043e \u043c\u043d\u043e\u044e fail2ban), \u043c\u043d\u0435 \u043f\u0440\u0438\u0448\u043b\u043e \u0432 \u0433\u043e\u043b\u043e\u0432\u0443, \u0447\u0442\u043e \u0447\u0435\u0440\u0435\u0437 \u044d\u0442\u0438 \u0448\u043b\u044e\u0437\u044b \u043c\u043e\u0433\u0443\u0442 \u0442\u0430\u043a\u0436\u0435 \u0438\u0434\u0442\u0438 \u0430\u0442\u0430\u043a\u0438 \u0438 \u043d\u0430 \u043c\u043e\u0438 RDP \u0441\u0435\u0440\u0432\u0435\u0440\u044b \u043f\u043e\u0434 Windows (2012 R2).<\/p>\n

<\/p>\n

\u0412\u0432\u0435\u0434\u0435\u043d\u0438\u0435<\/h3>\n

\u0414\u043b\u044f \u043f\u0440\u043e\u0442\u0438\u0432\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u044d\u0442\u043e\u0439 \u0443\u0433\u0440\u043e\u0437\u0435 \u043c\u043d\u0435 \u043f\u0440\u0438\u0448\u043b\u043e\u0441\u044c \u043d\u0430\u043f\u0440\u044f\u0447\u044c \u0441\u0432\u043e\u044e \u0432\u043e\u043b\u044e \u0438 \u043e\u0441\u0432\u043e\u0438\u0442\u044c PowerShell \u2014 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u044f \u043e\u0431\u044b\u0447\u043d\u043e \u043e\u0431\u0445\u043e\u0436\u0443 \u0441\u0442\u043e\u0440\u043e\u043d\u043e\u0439, \u043f\u0440\u0435\u0434\u043f\u043e\u0447\u0438\u0442\u0430\u044f bash. \u0421\u043a\u0430\u0436\u0443 \u0447\u0435\u0441\u0442\u043d\u043e: \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u0431\u044b\u043b \u043d\u0435\u043f\u0440\u043e\u0441\u0442\u044b\u043c, \u0438 \u043d\u0435 \u0432\u0441\u0435 \u043a\u043e\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u0438 PowerShell \u043a\u0430\u0436\u0443\u0442\u0441\u044f \u043c\u043d\u0435 \u0438\u043d\u0442\u0443\u0438\u0442\u0438\u0432\u043d\u043e-\u043f\u043e\u043d\u044f\u0442\u043d\u044b\u043c\u0438. \u041a\u043e\u0434, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0432\u044b \u0443\u0432\u0438\u0434\u0438\u0442\u0435, \u043d\u0430\u0432\u0435\u0440\u043d\u044f\u043a\u0430 \u043f\u043e\u043a\u0430\u0436\u0435\u0442\u0441\u044f \u043e\u043f\u044b\u0442\u043d\u044b\u043c Windows-\u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430\u043c \u0441\u044b\u0440\u043e\u0432\u0430\u0442\u044b\u043c \u2014 \u044f \u043d\u0435 \u0441\u043a\u0440\u044b\u0432\u0430\u044e, \u0447\u0442\u043e \u0437\u0434\u0435\u0441\u044c \u044f \u043d\u043e\u0432\u0438\u0447\u043e\u043a. \u0422\u0435\u043c \u043d\u0435 \u043c\u0435\u043d\u0435\u0435, \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0441\u044f \u0440\u0430\u0431\u043e\u0447\u0438\u043c, \u0438 \u044f \u0441\u0447\u0438\u0442\u0430\u044e \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u044b\u043c \u0438\u043c \u043f\u043e\u0434\u0435\u043b\u0438\u0442\u044c\u0441\u044f.<\/p>\n

\u0412 \u0438\u0442\u043e\u0433\u0435 \u0440\u043e\u0434\u0438\u043b\u0430\u0441\u044c \u0441\u0438\u0441\u0442\u0435\u043c\u0430 ES-RDP \u2014 \u043d\u0430\u0431\u043e\u0440 \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u044e\u0442 \u043b\u043e\u0433\u0438 RDP, \u0432\u044b\u0447\u0438\u0441\u043b\u044f\u044e\u0442 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u043e\u0432 \u0438 \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0431\u043b\u043e\u043a\u0438\u0440\u0443\u044e\u0442 \u0438\u0445 \u0447\u0435\u0440\u0435\u0437 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0439 \u0431\u0440\u0430\u043d\u0434\u043c\u0430\u0443\u044d\u0440 Windows. \u041d\u0438\u0436\u0435 \u2014 \u043a\u0430\u043a \u044d\u0442\u043e \u0443\u0441\u0442\u0440\u043e\u0435\u043d\u043e \u0438\u0437\u043d\u0443\u0442\u0440\u0438.<\/p>\n

\u041a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f ES-RDP<\/h3>\n

\u041c\u043e\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u0430 \u0441\u043e\u0441\u0442\u043e\u0438\u0442 \u0438\u0437 \u0434\u0432\u0443\u0445 \u0447\u0430\u0441\u0442\u0435\u0439: \u0440\u0430\u0431\u043e\u0447\u0435\u0439 (\u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u0438\u0437 Task Scheduler) \u0438 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430. \u041f\u0435\u0440\u0432\u0430\u044f \u043d\u0430\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f rdp-run.ps1, \u0430 \u0432\u0442\u043e\u0440\u0430\u044f \u2014 stat_all.ps1. \u0418\u043c\u0435\u0435\u0442\u0441\u044f \u0442\u0430\u043a\u0436\u0435 \u043e\u0431\u0449\u0438\u0439 \u0444\u0430\u0439\u043b \u0434\u043b\u044f \u0433\u043b\u043e\u0431\u0430\u043b\u044c\u043d\u044b\u0445 \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043a \u0432\u0441\u0435\u0439 \u044d\u0442\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u044b ES-RDP common.ps1 (\u043d\u0430\u0447\u043d\u0435\u043c \u0441 \u043d\u0435\u0433\u043e):<\/p>\n

# \u0421\u0438\u0441\u0442\u0435\u043c\u0430 \u0437\u0430\u0449\u0438\u0442\u044b \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e\u0433\u043e \u0440\u0430\u0431\u043e\u0447\u0435\u0433\u043e \u0441\u0442\u043e\u043b\u0430\r\n# Extra Systems Remote Desktop Protection\r\n# ES-RDP \u00a9 Extra Systems, 2026\r\n\r\n# --- \u0423\u041f\u0420\u0410\u0412\u041b\u042f\u042e\u0429\u0410\u042f \u0422\u0410\u0411\u041b\u0418\u0426\u0410 \u041f\u0420\u0410\u0412\u0418\u041b (ID, Hours, Limit, Type) ---\r\n# \u0417\u0434\u0435\u0441\u044c \u043c\u043e\u0436\u043d\u043e (\u043d\u043e \u043d\u0435 \u043d\u0443\u0436\u043d\u043e) \u043c\u0435\u043d\u044f\u0442\u044c \u0442\u043e\u043b\u044c\u043a\u043e Hours \u0438 Limit.\r\n$BanRules = @(\r\n    [PSCustomObject]@{ ID = 140; Hours = 24; Limit = 5; Type = \"AUTH\" },\r\n    [PSCustomObject]@{ ID = 131; Hours = 24; Limit = 10; Type = \"SCAN\" }\r\n)\r\n\r\n# \u041a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u044b\r\n\r\n# \u042d\u0442\u0438 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u043c\u0435\u043d\u044f\u0442\u044c \u043d\u0435\u043b\u044c\u0437\u044f\r\n$LogName = \"Microsoft-Windows-RemoteDesktopServices-RdpCoreTS\/Operational\"\r\n$RulePrefix = \"ES_RDP_Drop_\"\r\n\r\n# \u042d\u0442\u0438 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u043c\u0435\u043d\u044f\u0442\u044c \u043c\u043e\u0436\u043d\u043e (\u043d\u043e \u043d\u0435 \u043d\u0443\u0436\u043d\u043e)\r\n$BanTimeDays = 7\r\n\r\n# \u0421\u043f\u0438\u0441\u043e\u043a \u0438\u0441\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0439 (Whitelist)\r\n# \u041c\u043e\u0436\u043d\u043e \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u0435 IP \u0438\u043b\u0438 \u043c\u0430\u0441\u043a\u0438 \u0441 wildcards\r\n$WhiteList = @(\r\n    \"192.168.0.*\"\r\n)\r\n<\/pre>\n
\u0422\u0430\u0431\u043b\u0438\u0446\u0430 BanRules \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043f\u0435\u0440\u0435\u0447\u0435\u043d\u044c \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0435\u043c\u044b\u0445 \u0432 \u043b\u043e\u0433\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u0439, \u0433\u043b\u0443\u0431\u0438\u043d\u0443 \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u0438 (\u0432 \u0447\u0430\u0441\u0430\u0445) \u0438 \u043f\u0440\u0435\u0434\u0435\u043b \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0430 \u043e\u0448\u0438\u0431\u043e\u043a, \u043f\u043e\u0441\u043b\u0435 \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e \u043a\u043b\u0438\u0435\u043d\u0442 \u043f\u043e\u043f\u0430\u0434\u0430\u0435\u0442 \u0432 \u0431\u0430\u043d. \u0421\u0440\u043e\u043a \u043d\u0430\u0445\u043e\u0436\u0434\u0435\u043d\u0438\u044f \u043d\u0430\u0440\u0443\u0448\u0438\u0442\u0435\u043b\u044f \u0432 \u0431\u0430\u043d\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f BanTimeDays.<\/p>\n
\u0421\u0438\u0441\u0442\u0435\u043c\u0430 \u043e\u0445\u0440\u0430\u043d\u044b \u043f\u0435\u0440\u0438\u043c\u0435\u0442\u0440\u0430<\/h3>\n
\u0422\u0435\u043f\u0435\u0440\u044c \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0444\u0430\u0439\u043b rdp-run.ps1, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0435\u0440\u0438\u043e\u0434\u0438\u0447\u0435\u0441\u043a\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 Task Scheduler. \u0421\u043d\u0430\u0447\u0430\u043b\u0430 \u044f \u0432\u044b\u0437\u044b\u0432\u0430\u043b \u0435\u0433\u043e \u0440\u0430\u0437 \u0432 20 \u043c\u0438\u043d\u0443\u0442, \u043d\u043e \u0441\u0435\u0439\u0447\u0430\u0441 \u043f\u0435\u0440\u0435\u0448\u0435\u043b \u043d\u0430 10. \u042d\u0442\u043e \u0443\u043c\u0435\u043d\u044c\u0448\u0430\u0435\u0442 \u043e\u043a\u043d\u043e \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0435\u0439 \u0434\u043b\u044f \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430 \u0438 \u044d\u043d\u0435\u0440\u0433\u0438\u0447\u043d\u044b\u0439 \u0431\u043e\u0442 \u0443\u0441\u043f\u0435\u0432\u0430\u0435\u0442 \u043f\u0440\u0438 \u044d\u0442\u043e\u043c \u00ab\u043d\u0430\u0441\u043b\u0435\u0434\u0438\u0442\u044c\u00bb \u0432 \u0434\u0432\u0430 \u0440\u0430\u0437\u0430 \u043c\u0435\u043d\u044c\u0448\u0435. \u0418 \u0442\u0430\u043a, \u0432\u043e\u0442 \u043a\u043e\u0434 \u0441\u043a\u0440\u0438\u043f\u0442\u0430 rdp-run.ps1:<\/p>\n
param (\r\n    [Parameter(Mandatory=$false)]\r\n    [switch]$Quiet\r\n)\r\n\r\n. \"$PSScriptRoot\\common.ps1\"\r\n\r\n# 1. \u041e\u0427\u0418\u0421\u0422\u041a\u0410 \u0421\u0422\u0410\u0420\u042c\u042f\r\n$ExpirationDate = (Get-Date).AddDays(-$BanTimeDays)\r\n$AllRules = Get-NetFirewallRule -DisplayName \"$RulePrefix*\" -ErrorAction SilentlyContinue\r\n\r\n$AmntOldBefore = $AllRules.Count\r\n$OldRules = $AllRules | Where-Object {\r\n    if ($_.DisplayName -match \"(\\d{4}-\\d{2}-\\d{2})\") {\r\n        [DateTime]$Matches[1] -lt $ExpirationDate\r\n    } else { $false }\r\n}\r\n\r\n$AmnistiedCount = 0\r\nif ($OldRules) {\r\n    $AmnistiedCount = $OldRules.Count\r\n    $OldRules | Remove-NetFirewallRule\r\n}\r\n\r\nif (-not $Quiet) {\r\n    Write-Output \"=== \u0410\u0423\u0414\u0418\u0422 \u0411\u0410\u041d-\u041b\u0418\u0421\u0422\u0410 ===\"\r\n    Write-Output \"\u0412\u0441\u0435\u0433\u043e \u0430\u043a\u0442\u0438\u0432\u043d\u044b\u0445 \u0431\u0430\u043d\u043e\u0432 \u0432 Firewall: $AmntOldBefore\"\r\n    Write-Output \"\u0410\u041c\u041d\u0418\u0421\u0422\u0418\u042f: \u0423\u0434\u0430\u043b\u0435\u043d\u043e $AmnistiedCount \u043f\u0440\u0430\u0432\u0438\u043b.`n\"\r\n}\r\n\r\n# 2. \u041f\u041e\u041b\u0423\u0427\u0415\u041d\u0418\u0415 \u041d\u0410\u0420\u0423\u0428\u0418\u0422\u0415\u041b\u0415\u0419 (\u0427\u0435\u0440\u0435\u0437 \u0446\u0438\u043a\u043b \u043f\u043e \u0442\u0430\u0431\u043b\u0438\u0446\u0435)\r\n$RawOffenders = @()\r\n\r\nforeach ($Rule in $BanRules) {\r\n    $StartTime = (Get-Date).AddHours(-$Rule.Hours)\r\n    $Events = Get-WinEvent -FilterHashtable @{LogName=$LogName; ID=$Rule.ID; StartTime=$StartTime} -ErrorAction SilentlyContinue\r\n    \r\n    if ($Events) {\r\n        $List = $Events | ForEach-Object {\r\n            if ($_.Message -match \"(\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3})\") {\r\n                $FoundIP = $Matches[1]\r\n\r\n                # \u041f\u0420\u041e\u0412\u0415\u0420\u041a\u0410 \u041f\u041e WHITELIST\r\n                $IsWhite = $false\r\n                foreach ($WhiteIP in $WhiteList) {\r\n                    if ($FoundIP -like $WhiteIP) { \r\n                        $IsWhite = $true\r\n                        break \r\n                    }\r\n                }\r\n\r\n                if (-not $IsWhite) { \r\n                    [PSCustomObject]@{ IP = $FoundIP; Type = $Rule.Type }\r\n                }\r\n\r\n            }\r\n        } | Group-Object IP | Where-Object { $_.Count -ge $Rule.Limit }\r\n        \r\n        if ($List) { $RawOffenders += $List }\r\n    }\r\n}\r\n\r\n# \u041e\u0431\u044a\u0435\u0434\u0438\u043d\u044f\u0435\u043c \u0438 \u0441\u0445\u043b\u043e\u043f\u044b\u0432\u0430\u0435\u043c \u0434\u0443\u0431\u043b\u0438\u043a\u0430\u0442\u044b\r\n$Offenders = $RawOffenders | Group-Object Name | ForEach-Object { $_.Group[0] }\r\n\r\n# 3. \u0411\u0410\u041d \u041d\u041e\u0412\u042b\u0425 \u0413\u0410\u0414\u041e\u0412\r\n$NewBansCount = 0\r\nif ($Offenders) {\r\n    $CurDate = Get-Date -Format \"yyyy-MM-dd\"\r\n    foreach ($Offender in $Offenders) {\r\n        $IP = $Offender.Name\r\n        $Type = $Offender.Group[0].Type\r\n        $TechnicalName = $RulePrefix + $IP.Replace('.', '_')\r\n\r\n        if (-not (Get-NetFirewallRule -Name $TechnicalName -ErrorAction SilentlyContinue)) {\r\n            $Description = \"Type: $Type. Attempts: $($Offender.Count). Created: $(Get-Date)\"\r\n            New-NetFirewallRule -Name $TechnicalName -DisplayName \"$RulePrefix$CurDate`_$IP\" -Direction Inbound -Action Block -RemoteAddress $IP -Description $Description | Out-Null\r\n            \r\n            if (-not $Quiet) { Write-Output \"NEW BAN: $IP ($Type - $($Offender.Count) attempts)\" }\r\n            $NewBansCount++\r\n        }\r\n    }\r\n}\r\n\r\n# 4. \u0424\u0418\u041d\u0410\u041b\u042c\u041d\u042b\u0419 \u0421\u0411\u041e\u0420 \u0414\u0410\u041d\u041d\u042b\u0425\r\n$TotalBannedAfter = (Get-NetFirewallRule -DisplayName \"$RulePrefix*\" -ErrorAction SilentlyContinue).Count\r\n$Timestamp = (Get-Date).ToString(\"yyyy-MM-dd HH:mm:ss\")\r\n\r\nWrite-Output \"$Timestamp $TotalBannedAfter $NewBansCount $AmnistiedCount\"\r\n\r\n# 5. \u0421\u0422\u0410\u0422\u0418\u0421\u0422\u0418\u041a\u0410\r\nif (-not $Quiet -and $Offenders) {\r\n    Write-Output \"`n=== \u0421\u0412\u041e\u0414\u041d\u0410\u042f \u0421\u0422\u0410\u0422\u0418\u0421\u0422\u0418\u041a\u0410 \u0410\u0422\u0410\u041a ===\"\r\n    $Offenders | Select-Object @{N=\"IP \u0410\u0434\u0440\u0435\u0441\";E={$_.Name}}, @{N=\"\u0423\u0434\u0430\u0440\u043e\u0432\";E={$_.Count}}, @{N=\"\u0422\u0438\u043f\";E={$_.Group[0].Type}} | Sort-Object \u0423\u0434\u0430\u0440\u043e\u0432 -Descending | Format-Table -AutoSize | Out-String\r\n}\r\n<\/pre>\n
\u0418\u0437 Task Scheduler \u0443 \u043c\u0435\u043d\u044f \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043d\u0435 \u0441\u0430\u043c rdp-run.ps1, \u0430 \u0444\u0430\u0439\u043b rdp-run.bat \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0438\u043c\u0435\u0435\u0442 \u0442\u0430\u043a\u043e\u0439 \u0432\u0438\u0434:<\/p>\n
powershell.exe -File \"C:\\Scripts\\rdp-run.ps1\" -Quiet >> C:\\Scripts\\Logs\\rdp-ban.log<\/pre>\n
\u0424\u0430\u0439\u043b rdp-ban.log \u0438\u043c\u0435\u0435\u0442 \u043f\u0440\u0438\u043c\u0435\u0440\u043d\u043e \u0442\u0430\u043a\u043e\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 (\u043a\u043b\u044e\u0447 Quiet \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0442 \u0432\u044b\u0432\u043e\u0434 \u0432 \u043b\u043e\u0433 \u043b\u0438\u0448\u044c \u043c\u0438\u043d\u0438\u043c\u0443\u043c\u0430 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438):<\/p>\n
2026-04-03 01:30:09 104 0 0\r\n2026-04-03 01:40:08 104 0 0\r\n2026-04-03 01:50:07 104 0 0\r\n2026-04-03 02:00:08 105 1 0\r\n2026-04-03 02:10:08 105 0 0\r\n2026-04-03 02:20:08 105 0 0\r\n2026-04-03 02:30:07 105 0 0\r\n2026-04-03 02:40:08 105 0 0\r\n2026-04-03 02:50:08 105 0 0\r\n2026-04-03 03:00:07 105 0 0\r\n2026-04-03 03:10:08 105 0 0\r\n2026-04-03 03:20:08 105 0 0\r\n2026-04-03 03:30:08 105 0 0\r\n2026-04-03 03:40:08 105 0 0\r\n2026-04-03 03:50:08 105 0 0\r\n2026-04-03 04:00:11 105 0 0\r\n2026-04-03 04:10:07 105 0 0<\/pre>\n
\u041f\u0440\u0435\u0434\u043f\u043e\u0441\u043b\u0435\u0434\u043d\u044f\u044f \u043a\u043e\u043b\u043e\u043d\u043a\u0430 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0434\u043e\u0431\u0430\u0432\u043b\u0435\u043d\u043d\u044b\u0445 \u043d\u0430 \u044d\u0442\u043e\u043c \u043f\u0440\u043e\u0445\u043e\u0434\u0435 \u0432 \u0431\u0430\u043d \u043a\u043b\u0438\u0435\u043d\u0442\u043e\u0432, \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u044f\u044f — \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0430\u043c\u043d\u0438\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445, \u0430 104 \u0438 105 — \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0437\u0430\u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u043d\u0430 \u0434\u0430\u043d\u043d\u044b\u0439 \u043c\u043e\u043c\u0435\u043d\u0442 \u0432\u0440\u0430\u0436\u0435\u0441\u043a\u0438\u0445 \u0445\u043e\u0441\u0442\u043e\u0432.<\/p>\n
\u0421\u0442\u0430\u0442\u0438\u0441\u0442\u0438\u043a\u0430 \u0440\u0430\u0431\u043e\u0442\u044b<\/h3>\n
\u0414\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0440\u0430\u0431\u043e\u0442\u044b ES-RDP \u0441\u043e\u0437\u0434\u0430\u043d \u0441\u043a\u0440\u0438\u043f\u0442 stat_all.ps1. \u0412\u043e\u0442 \u0435\u0433\u043e \u043f\u043e\u043b\u043d\u044b\u0439 \u043a\u043e\u0434:<\/p>\n
. \"$PSScriptRoot\\common.ps1\"\r\n\r\nWrite-Host \"`n=== [ \u0422\u042e\u0420\u042c\u041c\u0410 ES-RDP: \u0421\u041f\u0418\u0421\u041e\u041a \u0417\u0410\u041a\u041b\u042e\u0427\u0415\u041d\u041d\u042b\u0425 ] ===\" -ForegroundColor Cyan\r\nWrite-Host \"\u0421\u0440\u043e\u043a \u0438\u0437\u043e\u043b\u044f\u0446\u0438\u0438 \u043e\u0442 \u043e\u0431\u0449\u0435\u0441\u0442\u0432\u0430: $BanTimeDays \u0434\u043d.\" -ForegroundColor Gray\r\n\r\n# \u041f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0441\u043f\u0438\u0441\u043e\u043a \u043f\u0440\u0430\u0432\u0438\u043b\r\n$Rules = Get-NetFirewallRule -DisplayName \"$RulePrefix*\" -ErrorAction SilentlyContinue\r\n\r\nif (-not $Rules) {\r\n    Write-Host \"\u0412 \u043a\u0430\u043c\u0435\u0440\u0430\u0445 \u043f\u0443\u0441\u0442\u043e. \u0412\u0441\u0435 \u0447\u0438\u0441\u0442\u044b...\" -ForegroundColor Green\r\n} else {\r\n    $Results = foreach ($Rule in $Rules) {\r\n        $Address = (Get-NetFirewallAddressFilter -AssociatedNetFirewallRule $Rule).RemoteAddress\r\n        \r\n        $Attempts = 0\r\n        $Type = \"AUTH\"\r\n        \r\n        # \u041f\u0430\u0440\u0441\u0438\u043c \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 (SCAN\/AUTH)\r\n        if ($Rule.Description -match \"Type: (\\w+). Attempts: (\\d+)\") {\r\n            $Type = $Matches[1]\r\n            $Attempts = [int]$Matches[2]\r\n        }\r\n        elseif ($Rule.Description -match \"(\\d+) attempts\") {\r\n            $Attempts = [int]$Matches[1]\r\n        }\r\n        \r\n        # \u0418\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u043c \u0434\u0430\u0442\u0443 \u0438 \u043f\u0440\u043e\u0441\u0442\u043e \u043f\u0435\u0440\u0435\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u043c \u0446\u0438\u0444\u0440\u044b (Europe Style)\r\n        $RawDate = $Rule.Description -replace \".*Created: \", \"\"\r\n        $FormattedDate = $RawDate -replace \"(\\d{2})\/(\\d{2})\/(\\d{4})\", '$2.$1.$3'\r\n\r\n        [PSCustomObject]@{\r\n            \"IP \u0410\u0434\u0440\u0435\u0441\"  = $Address\r\n            \"\u0414\u0430\u0442\u0430 \u0431\u0430\u043d\u0430\" = $FormattedDate\r\n            \"\u0423\u0434\u0430\u0440\u043e\u0432\"    = $Attempts\r\n            \"\u0422\u0438\u043f\"       = $Type\r\n            \"\u041f\u0440\u0430\u0432\u0438\u043b\u043e\"   = $Rule.DisplayName\r\n        }\r\n    }\r\n\r\n    # \u0421\u043e\u0440\u0442\u0438\u0440\u043e\u0432\u043a\u0430 \u043f\u043e \u0434\u0430\u0442\u0435\r\n$Results | Sort-Object @{\r\n    Expression = { [DateTime]::ParseExact($_. \"\u0414\u0430\u0442\u0430 \u0431\u0430\u043d\u0430\", \"dd.MM.yyyy HH:mm:ss\", $null) }\r\n} | Format-Table -AutoSize\r\n    \r\n    Write-Host \"-----------------------\"\r\n    Write-Host \"\u0412\u0441\u0435\u0433\u043e \u0432 \u0431\u0430\u043d\u0435: $($Results.Count)\" -ForegroundColor Yellow\r\n}\r\n\r\n# --- [ \u0411\u041b\u041e\u041a: \u041e\u0422\u0427\u0415\u0422 \u0421\u0423\u0414\u0415\u0411\u041d\u041e\u0419 \u041a\u0410\u041d\u0426\u0415\u041b\u042f\u0420\u0418\u0418 ] ---\r\nWrite-Host \"`n=== [ \u041e\u0422\u0427\u0415\u0422 \u0421\u0423\u0414\u0415\u0411\u041d\u041e\u0419 \u041a\u0410\u041d\u0426\u0415\u041b\u042f\u0420\u0418\u0418 ] ===\" -ForegroundColor Cyan\r\nWrite-Host \"\u0414\u0438\u043d\u0430\u043c\u0438\u043a\u0430 \u043a\u043e\u043b\u0435\u0431\u0430\u043d\u0438\u0439 \u0443\u0440\u043e\u0432\u043d\u044f \u043f\u0440\u0435\u0441\u0442\u0443\u043f\u043d\u043e\u0441\u0442\u0438\" -ForegroundColor Gray\r\nWrite-Host \"(\u0437\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 $BanTimeDays \u0434\u043d.)\" -ForegroundColor Gray\r\n\r\nif ($Results) {\r\n    # \u0413\u0440\u0443\u043f\u043f\u0438\u0440\u0443\u0435\u043c \u0434\u0430\u043d\u043d\u044b\u0435 \u043f\u043e \u0434\u0430\u0442\u0435 (\u0438\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u043c \u0442\u043e\u043b\u044c\u043a\u043e \u0434\u0430\u0442\u0443 \u0431\u0435\u0437 \u0432\u0440\u0435\u043c\u0435\u043d\u0438, \u0435\u0441\u043b\u0438 \u043e\u043d\u043e \u0442\u0430\u043c \u0435\u0441\u0442\u044c)\r\n    $Stats = $Results | Group-Object { \r\n        # \u0411\u0435\u0440\u0435\u043c \u043f\u0435\u0440\u0432\u044b\u0435 10 \u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432 \u0438\u0437 \"\u0414\u0430\u0442\u0430 \u0431\u0430\u043d\u0430\" (\u0444\u043e\u0440\u043c\u0430\u0442 \u0414\u0414.\u041c\u041c.\u0413\u0413\u0413\u0413)\r\n        $_. \"\u0414\u0430\u0442\u0430 \u0431\u0430\u043d\u0430\".Substring(0, 10) \r\n    } | Select-Object @{Name=\"\u0414\u0430\u0442\u0430\"; Expression={$_.Name}},\r\n                      @{Name=\"\u041f\u0440\u0435\u0441\u0442\u0443\u043f\u043b\u0435\u043d\u0438\u0439\"; Expression={ ($_.Group | Measure-Object \"\u0423\u0434\u0430\u0440\u043e\u0432\" -Sum).Sum }},\r\n                      @{Name=\"\u041f\u0440\u0438\u0433\u043e\u0432\u043e\u0440\u043e\u0432\"; Expression={$_.Count}},\r\n                      @{Name=\"\u0414\u0430\u0442\u0430_\u041e\u0431\u044a\u0435\u043a\u0442\"; Expression={ [DateTime]::ParseExact($_.Name, \"dd.MM.yyyy\", $null) }}\r\n\r\n    # \u0412\u044b\u0432\u043e\u0434\u0438\u043c \u0442\u0430\u0431\u043b\u0438\u0446\u0443\r\n#    $Stats | Sort-Object \"\u0414\u0430\u0442\u0430\" | Format-Table -AutoSize\r\n    $Stats | Sort-Object \"\u0414\u0430\u0442\u0430_\u041e\u0431\u044a\u0435\u043a\u0442\" | Select-Object \"\u0414\u0430\u0442\u0430\", \"\u041f\u0440\u0435\u0441\u0442\u0443\u043f\u043b\u0435\u043d\u0438\u0439\", \"\u041f\u0440\u0438\u0433\u043e\u0432\u043e\u0440\u043e\u0432\" | Format-Table -AutoSize\r\n\r\n} else {\r\n    Write-Host \"\u0410\u0440\u0445\u0438\u0432\u044b \u043f\u0443\u0441\u0442\u044b. \u041f\u0440\u0435\u0441\u0442\u0443\u043f\u043d\u043e\u0441\u0442\u0438 \u043d\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043e.\" -ForegroundColor Green\r\n}\r\n\r\n# --- \u0411\u041b\u041e\u041a: \u0421\u0422\u0410\u0422\u0418\u0421\u0422\u0418\u041a\u0410 \u041a\u0410\u0420\u0426\u0415\u0420\u0410 ---\r\nWrite-Host \"`n=== [ \u0418\u041d\u0421\u041f\u0415\u041a\u0426\u0418\u042f \u0416\u0423\u0420\u041d\u0410\u041b\u0410 \u041e\u0425\u0420\u0410\u041d\u042b ] ===\" -ForegroundColor Cyan\r\nWrite-Host \"\u0421\u0415\u0420\u0412\u0415\u0420: $env:COMPUTERNAME\" -ForegroundColor Yellow\r\n\r\ntry {\r\n    $LogInfo = Get-WinEvent -ListLog $LogName\r\n    $OldestEvent = Get-WinEvent -LogName $LogName -MaxEvents 1 -Oldest -ErrorAction SilentlyContinue\r\n    \r\n    $LifespanHours = 0\r\n    $FirstRecordDate = \"\u041d\/\u0414\"\r\n\r\n    if ($OldestEvent) {\r\n        $FirstRecordDate = $OldestEvent.TimeCreated.ToString(\"dd.MM.yyyy HH:mm\")\r\n        $Diff = New-TimeSpan -Start $OldestEvent.TimeCreated -End (Get-Date)\r\n        # \u041e\u043a\u0440\u0443\u0433\u043b\u044f\u0435\u043c \u0434\u043e \u0446\u0435\u043b\u043e\u0433\u043e \u0447\u0438\u0441\u043b\u0430 (\u0432\u043d\u0438\u0437, \u0434\u043e \u043f\u043e\u043b\u043d\u044b\u0445 \u0447\u0430\u0441\u043e\u0432)\r\n        $LifespanHours = [Math]::Truncate($Diff.TotalHours)\r\n    }\r\n\r\n    $LogStats = [PSCustomObject]@{\r\n        \"\u041c\u0430\u043a\u0441. \u0440\u0430\u0437\u043c\u0435\u0440 (\u041c\u0411)\" = [Math]::Round($LogInfo.MaximumSizeInBytes \/ 1MB, 2)\r\n        \"\u0422\u0435\u043a\u0443\u0449\u0438\u0439 \u0432\u0435\u0441 (\u041c\u0411)\"  = [Math]::Round($LogInfo.FileSize \/ 1MB, 2)\r\n        \"\u0417\u0430\u043f\u0438\u0441\u0435\u0439 \u0432 \u043b\u043e\u0433\u0435\"    = $LogInfo.RecordCount\r\n        \"\u0421\u0442\u0430\u0440\u0435\u0439\u0448\u0430\u044f \u0437\u0430\u043f\u0438\u0441\u044c\"  = $FirstRecordDate\r\n        \"\u0412\u0440\u0435\u043c\u044f \u0436\u0438\u0437\u043d\u0438 (\u0447)\"   = $LifespanHours\r\n    }\r\n\r\n    $LogStats | Format-Table -AutoSize\r\n\r\n    if ($LifespanHours -lt 24 -and $LifespanHours -gt 0) {\r\n        Write-Host \"(!) \u0412\u041d\u0418\u041c\u0410\u041d\u0418\u0415: \u0416\u0443\u0440\u043d\u0430\u043b \u0436\u0438\u0432\u0435\u0442 \u043c\u0435\u043d\u044c\u0448\u0435 \u0441\u0443\u0442\u043e\u043a. \u0420\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u0435\u0442\u0441\u044f \u0440\u0430\u0441\u0448\u0438\u0440\u0438\u0442\u044c \u043b\u0438\u043c\u0438\u0442.\" -ForegroundColor Red\r\n    }\r\n} \r\ncatch {\r\n    Write-Host \"\u041e\u0448\u0438\u0431\u043a\u0430 \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u0436\u0443\u0440\u043d\u0430\u043b\u0443: $($_.Exception.Message)\" -ForegroundColor Red\r\n}\r\n\r\nWrite-Host \"`n=== [ \u041e\u0422\u0427\u0415\u0422 \u041f\u041e \u0411\u0415\u0417\u041e\u041f\u0410\u0421\u041d\u041e\u0421\u0422\u0418 ES-RDP ] ===\" -ForegroundColor Cyan\r\nWrite-Host \"\u0410\u043d\u0430\u043b\u0438\u0437 \u043b\u043e\u0433\u043e\u0432 \u043f\u043e \u0442\u0438\u043f\u0430\u043c \u0441\u043e\u0431\u044b\u0442\u0438\u0439\" -ForegroundColor Gray\r\n\r\n# 1. \u0421\u043e\u0431\u0438\u0440\u0430\u0435\u043c \u0430\u043a\u0442\u0438\u0432\u043d\u044b\u0435 \u0431\u0430\u043d\u044b \u0438\u0437 Firewall (\u043e\u0434\u0438\u043d \u0440\u0430\u0437)\r\n$BannedIPs = @()\r\n$Rules = Get-NetFirewallRule -DisplayName \"$RulePrefix*\" -ErrorAction SilentlyContinue\r\nif ($Rules) {\r\n    foreach ($Rule in $Rules) {\r\n        $Addr = (Get-NetFirewallAddressFilter -AssociatedNetFirewallRule $Rule).RemoteAddress\r\n        if ($Addr) { $BannedIPs += $Addr }\r\n    }\r\n}\r\n\r\n# 2. \u0426\u0438\u043a\u043b \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u0438 \u0442\u0430\u0431\u043b\u0438\u0446\r\nforeach ($R in $BanRules) {\r\n    # \u0417\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a \u0442\u0435\u043f\u0435\u0440\u044c \u0432\u043a\u043b\u044e\u0447\u0430\u0435\u0442 \u0438 Limit, \u0438 Hours \u0438\u0437 \u043f\u0440\u0430\u0432\u0438\u043b\u0430, \u043d\u043e \u043f\u043e\u0438\u0441\u043a \u0438\u0434\u0435\u0442 \u043f\u043e $StartTime\r\n    Write-Host \"`n>>> \u0412\u044b\u0431\u043e\u0440\u043a\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439    $($R.Type) (ID $($R.ID))\" -ForegroundColor DarkYellow\r\n    Write-Host \">>> \u0413\u043b\u0443\u0431\u0438\u043d\u0430 \u0430\u043d\u0430\u043b\u0438\u0437\u0430    $($R.Hours) \u0447\u0430\u0441.\" -ForegroundColor DarkYellow\r\n    Write-Host \">>> \u041f\u043e\u0440\u043e\u0433 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f $($R.Limit) \u0443\u0434\u0430\u0440\u043e\u0432\" -ForegroundColor DarkYellow\r\n\r\n    $StartTime = (Get-Date).AddHours(-$R.Hours)\r\n\r\n    $Events = Get-WinEvent -FilterHashtable @{LogName=$LogName; ID=$R.ID; StartTime=$StartTime} -ErrorAction SilentlyContinue\r\n\r\n    if (-not $Events) {\r\n        Write-Host \"\u0412 \u043b\u043e\u0433\u0430\u0445 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438 \u043d\u0435 \u043d\u0430\u0439\u0434\u0435\u043d\u043e.\" -ForegroundColor Green\r\n        continue\r\n    }\r\n\r\n    # \u0413\u0440\u0443\u043f\u043f\u0438\u0440\u0443\u0435\u043c \u0412\u0421\u0415 \u043d\u0430\u0439\u0434\u0435\u043d\u043d\u044b\u0435 IP\r\n    $Report = $Events | ForEach-Object {\r\n        if ($_.Message -match \"(\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3})\") {\r\n            [PSCustomObject]@{ IP = $Matches[1]; Time = $_.TimeCreated }\r\n        }\r\n    } | Group-Object IP | Where-Object { $_.Count -gt 1 } | ForEach-Object {\r\n        $GroupSorted = $_.Group | Sort-Object Time\r\n        $CurrentIP = $_.Name\r\n        $IsBanned = $BannedIPs -contains $CurrentIP\r\n        \r\n        [PSCustomObject]@{\r\n            \"IP \u0410\u0434\u0440\u0435\u0441\"     = $CurrentIP\r\n            \"\u0423\u0434\u0430\u0440\u043e\u0432\"       = $_.Count\r\n            \"\u0421\u0442\u0430\u0442\u0443\u0441\"       = if ($IsBanned) { \"\u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d\" } else { \"\u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d\" }\r\n            \"\u041f\u0435\u0440\u0432\u044b\u0439 \u0443\u0434\u0430\u0440\"  = $GroupSorted[0].Time.ToString(\"dd.MM HH:mm\")\r\n            \"\u041f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0439\"    = $GroupSorted[-1].Time.ToString(\"dd.MM HH:mm\")\r\n        }\r\n    }\r\n\r\n    if ($Report) {\r\n        $Report | Sort-Object \"\u0423\u0434\u0430\u0440\u043e\u0432\" -Descending | Format-Table -AutoSize\r\n        \r\n        $TotalBanned  = ($Report | Where-Object { $_.\u0421\u0442\u0430\u0442\u0443\u0441 -eq \"\u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d\" }).Count\r\n        $FreeRadicals = ($Report | Where-Object { $_.\u0421\u0442\u0430\u0442\u0443\u0441 -eq \"\u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d\" }).Count\r\n\r\n        $SummaryColor = \"Green\"\r\n        if ($FreeRadicals -gt 0) { $SummaryColor = \"Yellow\" }\r\n\r\n        Write-Host \"\u0418\u0422\u041e\u0413: \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d\u041e: $TotalBanned | \u0421\u0412\u041e\u0411\u041e\u0414\u041d\u041e: $FreeRadicals\" -ForegroundColor $SummaryColor\r\n    }\r\n}\r\n\r\n# --- \u0411\u041b\u041e\u041a: \u0421\u0422\u0410\u0422\u0418\u0421\u0422\u0418\u041a\u0410 \u041a\u041e\u0414\u041e\u0412 \u0421\u041e\u0411\u042b\u0422\u0418\u0419 (\u0422\u041e\u041b\u042c\u041a\u041e \u0421 IP) ---\r\nWrite-Host \"`n=== [ \u0410\u041d\u0410\u041b\u0418\u0417\u0410\u0422\u041e\u0420 \u0410\u041a\u0422\u0418\u0412\u041d\u041e\u0421\u0422\u0418 \u041f\u041e ID ] ===\" -ForegroundColor Cyan\r\n\r\ntry {\r\n    # \u0412\u044b\u0447\u0438\u0441\u043b\u044f\u0435\u043c \u043c\u0430\u043a\u0441\u0438\u043c\u0430\u043b\u044c\u043d\u044b\u0439 \u043e\u0445\u0432\u0430\u0442 \u0438\u0437 \u0442\u0430\u0431\u043b\u0438\u0446\u044b \u043f\u0440\u0430\u0432\u0438\u043b\r\n    $MaxHours = ($BanRules | Measure-Object -Property Hours -Maximum).Maximum\r\n    if (-not $MaxHours) { $MaxHours = 24 } # \u0420\u0435\u0437\u0435\u0440\u0432\u043d\u043e\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435\r\n\r\n    Write-Host \"\u0421\u0442\u0430\u0442\u0438\u0441\u0442\u0438\u043a\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0445 IP-\u0430\u0434\u0440\u0435\u0441\u0430\" -ForegroundColor Gray\r\n    Write-Host \"(\u0437\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 $MaxHours \u0447.)\" -ForegroundColor Gray\r\n\r\n    # \u0418\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u043c \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0442\u043e\u043b\u044c\u043a\u043e \u0437\u0430 \u043d\u0443\u0436\u043d\u044b\u0439 \u043f\u0435\u0440\u0438\u043e\u0434 (\u043e\u043f\u0442\u0438\u043c\u0438\u0437\u0430\u0446\u0438\u044f)\r\n    $AnalysisPeriod = (Get-Date).AddHours(-$MaxHours)\r\n    $AllEvents = Get-WinEvent -FilterHashtable @{LogName=$LogName; StartTime=$AnalysisPeriod} -ErrorAction SilentlyContinue\r\n\r\n    if ($AllEvents) {\r\n        $EventStats = $AllEvents | Group-Object Id | ForEach-Object {\r\n            $CurrentID = $_.Name\r\n            \r\n            # \u0418\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u043c \u0443\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u044b\u0435 IP (\u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 Message \u043d\u0430 \u043d\u0430\u043b\u0438\u0447\u0438\u0435 IP)\r\n            $UniqueIPs = $_.Group | ForEach-Object {\r\n                if ($_.Message -match \"(\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3})\") { $Matches[1] }\r\n            } | Select-Object -Unique\r\n            \r\n            $IPCount = ($UniqueIPs | Measure-Object).Count\r\n\r\n            if ($IPCount -gt 0) {\r\n                [PSCustomObject]@{\r\n                    \"\u041a\u043e\u0434 \u0441\u043e\u0431\u044b\u0442\u0438\u044f\"   = $CurrentID\r\n                    \"\u041e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u0439\"     = $_.Count\r\n                    \"\u0423\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u044b\u0445 IP\" = $IPCount\r\n                }\r\n            }\r\n        }\r\n\r\n        # \u0412\u044b\u0432\u043e\u0434\u0438\u043c \u0442\u0430\u0431\u043b\u0438\u0446\u0443: \u0441\u043e\u0440\u0442\u0438\u0440\u043e\u0432\u043a\u0430 \u043f\u043e \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0443 \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u0439\r\n        if ($EventStats) {\r\n            $EventStats | Sort-Object \"\u041e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u0439\" -Descending | Format-Table -AutoSize\r\n        } else {\r\n            Write-Host \"\u0421\u043e\u0431\u044b\u0442\u0438\u0439 \u0441 IP-\u0430\u0434\u0440\u0435\u0441\u0430\u043c\u0438 \u0437\u0430 \u044d\u0442\u043e\u0442 \u043f\u0435\u0440\u0438\u043e\u0434 \u043d\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043e.\" -ForegroundColor Yellow\r\n        }\r\n    } else {\r\n        Write-Host \"\u041b\u043e\u0433 \u043f\u0443\u0441\u0442 \u0437\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 $MaxHours \u0447.\" -ForegroundColor Yellow\r\n    }\r\n} catch {\r\n    Write-Host \"\u041e\u0448\u0438\u0431\u043a\u0430 \u043f\u0440\u0438 \u0430\u043d\u0430\u043b\u0438\u0437\u0435 \u043a\u043e\u0434\u043e\u0432: $($_.Exception.Message)\" -ForegroundColor Red\r\n}\r\n\r\n\r\nWrite-Host \"`n--------------------------------------------\"\r\n<\/pre>\n
\u042d\u0442\u043e\u0442 \u0441\u043a\u0440\u0438\u043f\u0442 \u0444\u043e\u0440\u043c\u0438\u0440\u0443\u0435\u0442 \u0432 \u043e\u043a\u043d\u043e \u043a\u043e\u043d\u0441\u043e\u043b\u0438 \u0434\u043b\u0438\u043d\u043d\u044b\u0439 \u043e\u0442\u0447\u0435\u0442 \u0438\u0437 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u0445 \u0440\u0430\u0437\u0434\u0435\u043b\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u044b \u0441\u0435\u0439\u0447\u0430\u0441 \u043f\u043e\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c. \u0421 \u0441\u0430\u043c\u043e\u0433\u043e \u043d\u0430\u0447\u0430\u043b\u0430 \u0438\u0434\u0435\u0442 \u043f\u043e\u043b\u043d\u044b\u0439 \u0441\u043f\u0438\u0441\u043e\u043a \u043d\u0430\u0445\u043e\u0434\u044f\u0449\u0438\u0445\u0441\u044f \u0432 \u0431\u0430\u043d\u0435 \u0445\u043e\u0441\u0442\u043e\u0432:<\/p>\n
=== [ \u0422\u042e\u0420\u042c\u041c\u0410 ES-RDP: \u0421\u041f\u0418\u0421\u041e\u041a \u0417\u0410\u041a\u041b\u042e\u0427\u0415\u041d\u041d\u042b\u0425 ] ===\r\n\u0421\u0440\u043e\u043a \u0438\u0437\u043e\u043b\u044f\u0446\u0438\u0438 \u043e\u0442 \u043e\u0431\u0449\u0435\u0441\u0442\u0432\u0430: 7 \u0434\u043d.\r\n\r\nIP \u0410\u0434\u0440\u0435\u0441 \u0414\u0430\u0442\u0430 \u0431\u0430\u043d\u0430 \u0423\u0434\u0430\u0440\u043e\u0432 \u0422\u0438\u043f \u041f\u0440\u0430\u0432\u0438\u043b\u043e\r\n-------- --------- ------ --- -------\r\n220.149.229.118 29.03.2026 00:00:06 6 AUTH ES_RDP_Drop_2026-03-29_220.149.229.118\r\n185.218.138.19 29.03.2026 01:20:08 432 AUTH ES_RDP_Drop_2026-03-29_185.218.138.19\r\n172.93.215.99 29.03.2026 01:40:08 5 AUTH ES_RDP_Drop_2026-03-29_172.93.215.99\r\n157.254.223.79 29.03.2026 02:40:08 5 AUTH ES_RDP_Drop_2026-03-29_157.254.223.79\r\n62.60.130.21 29.03.2026 05:20:06 5 AUTH ES_RDP_Drop_2026-03-29_62.60.130.21\r\n185.218.138.20 29.03.2026 06:00:09 612 AUTH ES_RDP_Drop_2026-03-29_185.218.138.20\r\n5.255.98.205 29.03.2026 06:40:09 12 AUTH ES_RDP_Drop_2026-03-29_5.255.98.205\r\n149.50.107.12 29.03.2026 09:20:11 649 AUTH ES_RDP_Drop_2026-03-29_149.50.107.12\r\n94.72.102.118 29.03.2026 09:40:09 5 AUTH ES_RDP_Drop_2026-03-29_94.72.102.118\r\n94.26.88.29 29.03.2026 10:40:12 293 AUTH ES_RDP_Drop_2026-03-29_94.26.88.29\r\n109.205.181.136 29.03.2026 11:00:11 5 AUTH ES_RDP_Drop_2026-03-29_109.205.181.136\r\n182.160.117.73 29.03.2026 12:20:09 6 AUTH ES_RDP_Drop_2026-03-29_182.160.117.73\r\n157.254.223.81 29.03.2026 13:00:09 5 AUTH ES_RDP_Drop_2026-03-29_157.254.223.81\r\n46.250.232.3 29.03.2026 16:40:09 5 AUTH ES_RDP_Drop_2026-03-29_46.250.232.3\r\n88.210.63.75 29.03.2026 18:40:16 98 AUTH ES_RDP_Drop_2026-03-29_88.210.63.75\r\n167.148.195.143 29.03.2026 19:20:13 5 AUTH ES_RDP_Drop_2026-03-29_167.148.195.143\r\n158.220.86.73 29.03.2026 19:20:14 5 AUTH ES_RDP_Drop_2026-03-29_158.220.86.73\r\n45.251.7.130 29.03.2026 21:40:11 7 AUTH ES_RDP_Drop_2026-03-29_45.251.7.130\r\n115.191.35.75 29.03.2026 22:00:09 5 AUTH ES_RDP_Drop_2026-03-29_115.191.35.75\r\n156.245.239.2 29.03.2026 23:20:09 5 AUTH ES_RDP_Drop_2026-03-29_156.245.239.2\r\n115.21.71.141 30.03.2026 00:00:10 10 AUTH ES_RDP_Drop_2026-03-30_115.21.71.141\r\n65.75.200.95 30.03.2026 00:20:11 27 AUTH ES_RDP_Drop_2026-03-30_65.75.200.95\r\n103.9.207.80 30.03.2026 00:20:11 5 AUTH ES_RDP_Drop_2026-03-30_103.9.207.80\r\n194.163.159.77 30.03.2026 00:20:12 5 AUTH ES_RDP_Drop_2026-03-30_194.163.159.77\r\n45.88.138.39 30.03.2026 01:00:07 8 AUTH ES_RDP_Drop_2026-03-30_45.88.138.39\r\n103.116.196.5 30.03.2026 01:20:10 45 AUTH ES_RDP_Drop_2026-03-30_103.116.196.5\r\n157.254.223.77 30.03.2026 02:00:10 5 AUTH ES_RDP_Drop_2026-03-30_157.254.223.77\r\n157.254.223.75 30.03.2026 02:20:09 5 AUTH ES_RDP_Drop_2026-03-30_157.254.223.75\r\n176.120.22.240 30.03.2026 03:00:11 196 AUTH ES_RDP_Drop_2026-03-30_176.120.22.240\r\n80.66.83.74 30.03.2026 03:40:15 6 AUTH ES_RDP_Drop_2026-03-30_80.66.83.74\r\n185.218.138.27 30.03.2026 03:40:15 568 AUTH ES_RDP_Drop_2026-03-30_185.218.138.27\r\n185.218.138.26 30.03.2026 04:20:20 871 AUTH ES_RDP_Drop_2026-03-30_185.218.138.26\r\n193.148.63.132 30.03.2026 06:40:17 5 AUTH ES_RDP_Drop_2026-03-30_193.148.63.132\r\n109.205.180.231 30.03.2026 07:00:17 5 AUTH ES_RDP_Drop_2026-03-30_109.205.180.231\r\n185.187.169.232 30.03.2026 07:20:17 5 AUTH ES_RDP_Drop_2026-03-30_185.187.169.232\r\n15.204.128.147 30.03.2026 08:40:18 5 AUTH ES_RDP_Drop_2026-03-30_15.204.128.147\r\n152.53.248.193 30.03.2026 11:00:15 5 AUTH ES_RDP_Drop_2026-03-30_152.53.248.193\r\n151.240.151.71 30.03.2026 13:00:15 5 AUTH ES_RDP_Drop_2026-03-30_151.240.151.71\r\n172.81.128.48 30.03.2026 13:00:15 5 AUTH ES_RDP_Drop_2026-03-30_172.81.128.48\r\n152.53.135.48 30.03.2026 13:20:15 7 AUTH ES_RDP_Drop_2026-03-30_152.53.135.48\r\n94.26.68.14 30.03.2026 14:00:15 22 AUTH ES_RDP_Drop_2026-03-30_94.26.68.14\r\n151.240.151.70 30.03.2026 14:00:16 5 AUTH ES_RDP_Drop_2026-03-30_151.240.151.70\r\n151.240.151.68 30.03.2026 14:00:16 5 AUTH ES_RDP_Drop_2026-03-30_151.240.151.68\r\n191.101.51.162 30.03.2026 14:20:15 5 AUTH ES_RDP_Drop_2026-03-30_191.101.51.162\r\n107.174.142.113 30.03.2026 14:40:15 6 AUTH ES_RDP_Drop_2026-03-30_107.174.142.113\r\n185.218.138.3 30.03.2026 15:00:17 339 AUTH ES_RDP_Drop_2026-03-30_185.218.138.3\r\n124.43.79.65 30.03.2026 16:20:18 5 AUTH ES_RDP_Drop_2026-03-30_124.43.79.65\r\n205.210.31.167 30.03.2026 16:20:24 12 SCAN ES_RDP_Drop_2026-03-30_205.210.31.167\r\n70.36.110.43 30.03.2026 17:00:16 5 AUTH ES_RDP_Drop_2026-03-30_70.36.110.43\r\n194.186.168.106 30.03.2026 17:10:17 6 AUTH ES_RDP_Drop_2026-03-30_194.186.168.106\r\n5.253.86.23 30.03.2026 17:40:19 190 AUTH ES_RDP_Drop_2026-03-30_5.253.86.23\r\n195.158.8.162 30.03.2026 18:00:09 5 AUTH ES_RDP_Drop_2026-03-30_195.158.8.162\r\n167.99.13.19 30.03.2026 18:00:13 11 SCAN ES_RDP_Drop_2026-03-30_167.99.13.19\r\n194.165.16.6 30.03.2026 19:00:19 16 AUTH ES_RDP_Drop_2026-03-30_194.165.16.6\r\n112.169.121.194 30.03.2026 20:00:17 8 AUTH ES_RDP_Drop_2026-03-30_112.169.121.194\r\n185.218.138.21 30.03.2026 20:10:21 318 AUTH ES_RDP_Drop_2026-03-30_185.218.138.21\r\n206.237.41.141 30.03.2026 21:10:19 5 AUTH ES_RDP_Drop_2026-03-30_206.237.41.141\r\n161.178.132.46 30.03.2026 21:20:19 5 AUTH ES_RDP_Drop_2026-03-30_161.178.132.46\r\n185.139.5.133 30.03.2026 22:20:19 6 AUTH ES_RDP_Drop_2026-03-30_185.139.5.133\r\n210.223.56.219 30.03.2026 23:00:18 5 AUTH ES_RDP_Drop_2026-03-30_210.223.56.219\r\n103.190.0.211 30.03.2026 23:30:19 5 AUTH ES_RDP_Drop_2026-03-30_103.190.0.211\r\n103.68.95.158 31.03.2026 01:40:17 8 AUTH ES_RDP_Drop_2026-03-31_103.68.95.158\r\n85.217.140.49 31.03.2026 06:10:14 11 SCAN ES_RDP_Drop_2026-03-31_85.217.140.49\r\n91.103.143.74 31.03.2026 07:50:10 5 AUTH ES_RDP_Drop_2026-03-31_91.103.143.74\r\n20.219.16.34 31.03.2026 09:10:15 10 SCAN ES_RDP_Drop_2026-03-31_20.219.16.34\r\n157.254.223.78 31.03.2026 12:20:11 5 AUTH ES_RDP_Drop_2026-03-31_157.254.223.78\r\n79.137.64.8 31.03.2026 14:20:11 14 AUTH ES_RDP_Drop_2026-03-31_79.137.64.8\r\n43.134.177.187 31.03.2026 14:20:11 5 AUTH ES_RDP_Drop_2026-03-31_43.134.177.187\r\n103.212.182.194 31.03.2026 16:20:09 37 AUTH ES_RDP_Drop_2026-03-31_103.212.182.194\r\n104.152.52.140 31.03.2026 18:40:08 10 SCAN ES_RDP_Drop_2026-03-31_104.152.52.140\r\n45.170.99.143 31.03.2026 20:30:04 5 AUTH ES_RDP_Drop_2026-03-31_45.170.99.143\r\n194.180.176.29 31.03.2026 21:30:05 5 AUTH ES_RDP_Drop_2026-03-31_194.180.176.29\r\n14.136.73.18 31.03.2026 21:40:05 5 AUTH ES_RDP_Drop_2026-03-31_14.136.73.18\r\n5.181.86.179 01.04.2026 01:00:06 79 AUTH ES_RDP_Drop_2026-04-01_5.181.86.179\r\n78.128.112.114 01.04.2026 03:00:06 30 AUTH ES_RDP_Drop_2026-04-01_78.128.112.114\r\n5.181.86.60 01.04.2026 03:00:07 48 AUTH ES_RDP_Drop_2026-04-01_5.181.86.60\r\n65.21.15.154 01.04.2026 03:10:05 5 AUTH ES_RDP_Drop_2026-04-01_65.21.15.154\r\n194.5.237.223 01.04.2026 05:20:06 5 AUTH ES_RDP_Drop_2026-04-01_194.5.237.223\r\n104.152.52.235 01.04.2026 07:30:07 11 SCAN ES_RDP_Drop_2026-04-01_104.152.52.235\r\n157.254.223.80 01.04.2026 08:10:06 5 AUTH ES_RDP_Drop_2026-04-01_157.254.223.80\r\n31.59.58.119 01.04.2026 17:20:06 6 AUTH ES_RDP_Drop_2026-04-01_31.59.58.119\r\n212.64.199.69 01.04.2026 17:50:06 5 AUTH ES_RDP_Drop_2026-04-01_212.64.199.69\r\n167.179.234.146 01.04.2026 18:30:05 8 AUTH ES_RDP_Drop_2026-04-01_167.179.234.146\r\n160.191.55.81 01.04.2026 19:40:05 5 AUTH ES_RDP_Drop_2026-04-01_160.191.55.81\r\n164.68.120.41 02.04.2026 00:10:06 5 AUTH ES_RDP_Drop_2026-04-02_164.68.120.41\r\n165.154.174.27 02.04.2026 00:40:08 17 SCAN ES_RDP_Drop_2026-04-02_165.154.174.27\r\n62.164.177.28 02.04.2026 01:50:06 26 AUTH ES_RDP_Drop_2026-04-02_62.164.177.28\r\n160.187.146.213 02.04.2026 06:20:05 5 AUTH ES_RDP_Drop_2026-04-02_160.187.146.213\r\n45.56.79.53 02.04.2026 06:50:06 14 SCAN ES_RDP_Drop_2026-04-02_45.56.79.53\r\n45.33.12.122 02.04.2026 07:50:06 14 SCAN ES_RDP_Drop_2026-04-02_45.33.12.122\r\n45.79.152.14 02.04.2026 08:00:06 146 SCAN ES_RDP_Drop_2026-04-02_45.79.152.14\r\n212.102.40.218 02.04.2026 08:50:07 10 SCAN ES_RDP_Drop_2026-04-02_212.102.40.218\r\n31.14.32.4 02.04.2026 09:10:07 11 SCAN ES_RDP_Drop_2026-04-02_31.14.32.4\r\n151.240.151.73 02.04.2026 11:40:06 5 AUTH ES_RDP_Drop_2026-04-02_151.240.151.73\r\n94.26.68.54 02.04.2026 12:30:06 16 AUTH ES_RDP_Drop_2026-04-02_94.26.68.54\r\n202.88.241.169 02.04.2026 13:20:06 5 AUTH ES_RDP_Drop_2026-04-02_202.88.241.169\r\n62.164.177.27 02.04.2026 15:40:07 87 AUTH ES_RDP_Drop_2026-04-02_62.164.177.27\r\n66.132.224.226 02.04.2026 18:20:07 10 SCAN ES_RDP_Drop_2026-04-02_66.132.224.226\r\n139.59.42.255 02.04.2026 19:20:07 11 SCAN ES_RDP_Drop_2026-04-02_139.59.42.255\r\n94.72.110.157 02.04.2026 20:20:06 5 AUTH ES_RDP_Drop_2026-04-02_94.72.110.157\r\n86.54.31.42 02.04.2026 21:00:07 28 SCAN ES_RDP_Drop_2026-04-02_86.54.31.42\r\n80.66.83.75 02.04.2026 23:20:07 10 SCAN ES_RDP_Drop_2026-04-02_80.66.83.75\r\n103.131.85.178 02.04.2026 23:30:06 5 AUTH ES_RDP_Drop_2026-04-02_103.131.85.178\r\n80.94.95.221 02.04.2026 23:50:05 36 AUTH ES_RDP_Drop_2026-04-02_80.94.95.221\r\n178.20.210.137 03.04.2026 02:00:05 18 AUTH ES_RDP_Drop_2026-04-03_178.20.210.137\r\n37.53.82.5 03.04.2026 09:10:07 36 AUTH ES_RDP_Drop_2026-04-03_37.53.82.5\r\n94.26.68.55 03.04.2026 14:10:07 9 AUTH ES_RDP_Drop_2026-04-03_94.26.68.55\r\n165.154.120.77 03.04.2026 15:10:07 5 AUTH ES_RDP_Drop_2026-04-03_165.154.120.77\r\n\r\n\r\n-----------------------\r\n\u0412\u0441\u0435\u0433\u043e \u0432 \u0431\u0430\u043d\u0435: 108<\/pre>\n
\u0417\u0430\u0442\u0435\u043c \u0438\u0434\u0435\u0442 \u0441\u0442\u0430\u0442\u0438\u0441\u0442\u0438\u043a\u0430 \u0432\u0440\u0430\u0436\u0434\u0435\u0431\u043d\u043e\u0439 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438 \u043f\u043e \u0434\u043d\u044f\u043c:<\/p>\n
=== [ \u041e\u0422\u0427\u0415\u0422 \u0421\u0423\u0414\u0415\u0411\u041d\u041e\u0419 \u041a\u0410\u041d\u0426\u0415\u041b\u042f\u0420\u0418\u0418 ] ===\r\n\u0414\u0438\u043d\u0430\u043c\u0438\u043a\u0430 \u043a\u043e\u043b\u0435\u0431\u0430\u043d\u0438\u0439 \u0443\u0440\u043e\u0432\u043d\u044f \u043f\u0440\u0435\u0441\u0442\u0443\u043f\u043d\u043e\u0441\u0442\u0438\r\n(\u0437\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 7 \u0434\u043d.)\r\n\r\n\u0414\u0430\u0442\u0430       \u041f\u0440\u0435\u0441\u0442\u0443\u043f\u043b\u0435\u043d\u0438\u0439 \u041f\u0440\u0438\u0433\u043e\u0432\u043e\u0440\u043e\u0432\r\n----       ------------ ----------\r\n29.03.2026         2170         20\r\n30.03.2026         2777         41\r\n31.03.2026          120         12\r\n01.04.2026          207         11\r\n02.04.2026          466         20\r\n03.04.2026           68          4\r\n<\/pre>\n
\u041f\u043e \u044d\u0442\u043e\u043c\u0443 \u043e\u0442\u0447\u0435\u0442\u0443 \u0445\u043e\u0440\u043e\u0448\u043e \u0432\u0438\u0434\u043d\u043e, \u043a\u0430\u043a \u0441\u043f\u0430\u0434\u0430\u0435\u0442 \u0441\u0442\u0430\u0442\u0438\u0441\u0442\u0438\u043a\u0430 «\u043f\u0440\u0430\u0432\u043e\u043d\u0430\u0440\u0443\u0448\u0435\u043d\u0438\u0439», \u0447\u0442\u043e \u0447\u0435\u0442\u043a\u043e \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c \u0440\u0430\u0431\u043e\u0442\u044b \u0441\u0438\u0441\u0442\u0435\u043c\u044b ES-RDP. \u0414\u0430\u043b\u044c\u0448\u0435 \u0432 \u043b\u0435\u043d\u0442\u0435 \u0438\u0434\u0435\u0442 \u0441\u0442\u0430\u0442\u0438\u0441\u0442\u0438\u043a\u0430 \u043b\u043e\u0433-\u0444\u0430\u0439\u043b\u0430 Windows, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0432\u0441\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0430 RDP:<\/p>\n
=== [ \u0418\u041d\u0421\u041f\u0415\u041a\u0426\u0418\u042f \u0416\u0423\u0420\u041d\u0410\u041b\u0410 \u041e\u0425\u0420\u0410\u041d\u042b ] ===\r\n\u0421\u0415\u0420\u0412\u0415\u0420: TITAN\r\n\r\n\u041c\u0430\u043a\u0441. \u0440\u0430\u0437\u043c\u0435\u0440 (\u041c\u0411) \u0422\u0435\u043a\u0443\u0449\u0438\u0439 \u0432\u0435\u0441 (\u041c\u0411) \u0417\u0430\u043f\u0438\u0441\u0435\u0439 \u0432 \u043b\u043e\u0433\u0435 \u0421\u0442\u0430\u0440\u0435\u0439\u0448\u0430\u044f \u0437\u0430\u043f\u0438\u0441\u044c \u0412\u0440\u0435\u043c\u044f \u0436\u0438\u0437\u043d\u0438 (\u0447)\r\n----------------- ---------------- -------------- ---------------- ---------------\r\n64 29,07 60522 28.03.2026 14:32 145<\/pre>\n
\u041e\u0431\u0440\u0430\u0449\u0430\u044e \u0432\u0430\u0448\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e \u0440\u0430\u0437\u043c\u0435\u0440 \u044d\u0442\u043e\u0433\u043e \u043b\u043e\u0433\u0430 \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d \u0443 \u043c\u0435\u043d\u044f \u0432 64 \u041c\u0431\u0430\u0439\u0442\u0430, \u0430 \u0438\u0437\u043d\u0430\u0447\u0430\u043b\u043d\u043e \u043e\u043d \u0431\u044b\u043b \u043e\u043a\u043e\u043b\u043e 1 \u041c\u0431\u0430\u0439\u0442\u0430. \u041d\u0430 \u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0442\u0430\u0434\u0438\u0438 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438 \u0441\u0438\u0441\u0442\u0435\u043c\u044b, \u043a\u043e\u0433\u0434\u0430 \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u043e \u0431\u043e\u0442\u043d\u0435\u0442\u0430 \u0435\u0449\u0435 \u043d\u0435 \u0431\u044b\u043b\u043e \u0437\u0430\u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u0430\u043d\u043e, \u0442\u0430\u043a\u043e\u0439 \u043c\u0430\u043b\u044b\u0439 \u0440\u0430\u0437\u043c\u0435\u0440 \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u043b \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u0442\u043e\u043b\u044c\u043a\u043e \u0437\u0430 \u043a\u0430\u043a\u0438\u0435-\u0442\u043e \u043f\u0430\u0440\u0443 \u0447\u0430\u0441\u043e\u0432, \u0447\u0435\u0433\u043e \u0441\u043e\u0432\u0435\u0440\u0448\u0435\u043d\u043d\u043e \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0434\u043b\u044f \u043f\u0440\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u0433\u043b\u0443\u0431\u043e\u043a\u043e\u0433\u043e \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0441\u0438\u0442\u0443\u0430\u0446\u0438\u0438. \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u044f \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u044e \u043f\u0440\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0438 \u0441\u0438\u0441\u0442\u0435\u043c\u044b ES-RDP \u043f\u0435\u0440\u0432\u044b\u043c \u0434\u0435\u043b\u043e\u043c \u0443\u0432\u0435\u043b\u0438\u0447\u0438\u0442\u044c \u0440\u0430\u0437\u043c\u0435\u0440 \u044d\u0442\u043e\u0433\u043e \u043b\u043e\u0433\u0430 \u0432\u043e\u0442 \u0442\u0430\u043a\u043e\u0439 \u043a\u043e\u043c\u0430\u043d\u0434\u043e\u0439<\/p>\n
@set \/a \"MBYTES=64\"\r\n@set \/a \"BYTES=MBYTES * 1024 * 1024\"\r\n@<nul set \/p =\"Old\" & wevtutil gl \"Microsoft-Windows-RemoteDesktopServices-RdpCoreTS\/Operational\" | findstr \"maxSize\"\r\n@wevtutil sl \"Microsoft-Windows-RemoteDesktopServices-RdpCoreTS\/Operational\" \/ms:%BYTES%\r\n@<nul set \/p =\"New\" & wevtutil gl \"Microsoft-Windows-RemoteDesktopServices-RdpCoreTS\/Operational\" | findstr \"maxSize\"\r\n@echo.\r\n@pause<\/pre>\n
\u0414\u0430\u043b\u044c\u0448\u0435 \u0432 \u043b\u0435\u043d\u0442\u0435 \u0438\u0434\u0435\u0442 \u043e\u0442\u0447\u0435\u0442 \u043f\u043e \u0441\u043e\u0431\u044b\u0442\u0438\u044f\u043c \u0438\u0437 \u043b\u043e\u0433\u0430 \u0437\u0430 \u0442\u043e\u0442 \u0441\u0440\u043e\u043a \u0438 \u043f\u043e \u0442\u0435\u043c \u043a\u043e\u0434\u0430\u043c, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0443\u043a\u0430\u0437\u0430\u043d\u044b \u0432 \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u044e\u0449\u0435\u0439 \u0442\u0430\u0431\u043b\u0438\u0446\u0435 \u0444\u0430\u0439\u043b\u0430 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438:<\/p>\n
=== [ \u041e\u0422\u0427\u0415\u0422 \u041f\u041e \u0411\u0415\u0417\u041e\u041f\u0410\u0421\u041d\u041e\u0421\u0422\u0418 ES-RDP ] ===\r\n\u0410\u043d\u0430\u043b\u0438\u0437 \u043b\u043e\u0433\u043e\u0432 \u043f\u043e \u0442\u0438\u043f\u0430\u043c \u0441\u043e\u0431\u044b\u0442\u0438\u0439\r\n\r\n>>> \u0412\u044b\u0431\u043e\u0440\u043a\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439    AUTH (ID 140)\r\n>>> \u0413\u043b\u0443\u0431\u0438\u043d\u0430 \u0430\u043d\u0430\u043b\u0438\u0437\u0430    24 \u0447\u0430\u0441.\r\n>>> \u041f\u043e\u0440\u043e\u0433 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f 5 \u0443\u0434\u0430\u0440\u043e\u0432\r\n\r\nIP \u0410\u0434\u0440\u0435\u0441        \u0423\u0434\u0430\u0440\u043e\u0432 \u0421\u0442\u0430\u0442\u0443\u0441     \u041f\u0435\u0440\u0432\u044b\u0439 \u0443\u0434\u0430\u0440 \u041f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0439\r\n--------        ------ ------     ----------- ---------\r\n80.94.95.221        36 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 02.04 23:41 02.04 23:41\r\n37.53.82.5          36 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 03.04 09:07 03.04 09:07\r\n178.20.210.137      18 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 03.04 01:50 03.04 01:51\r\n94.26.68.55         10 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 03.04 14:02 03.04 14:10\r\n165.154.120.77       4 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 02.04 17:06 03.04 15:05\r\n157.254.223.76       3 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 04:12 03.04 07:35\r\n115.190.244.156      2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 18:16 02.04 22:33\r\n103.131.85.178       2 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 02.04 19:08 02.04 23:24\r\n14.225.222.7         2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 20:20 02.04 22:30\r\n142.93.145.126       2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 16:14 02.04 19:59\r\n94.72.110.157        2 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 02.04 17:20 02.04 20:11\r\n84.247.165.192       2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 18:37 03.04 14:47\r\n192.168.0.67         2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 08:25 03.04 08:25\r\n103.49.131.118       2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 07:38 03.04 10:55\r\n165.154.120.211      2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 11:44 03.04 12:12\r\n209.126.82.146       2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 21:09 03.04 14:01\r\n207.189.16.214       2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 03:32 03.04 05:43\r\n\r\n\r\n\u0418\u0422\u041e\u0413: \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d\u041e: 7 | \u0421\u0412\u041e\u0411\u041e\u0414\u041d\u041e: 10\r\n\r\n>>> \u0412\u044b\u0431\u043e\u0440\u043a\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439    SCAN (ID 131)\r\n>>> \u0413\u043b\u0443\u0431\u0438\u043d\u0430 \u0430\u043d\u0430\u043b\u0438\u0437\u0430    24 \u0447\u0430\u0441.\r\n>>> \u041f\u043e\u0440\u043e\u0433 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f 10 \u0443\u0434\u0430\u0440\u043e\u0432\r\n\r\nIP \u0410\u0434\u0440\u0435\u0441        \u0423\u0434\u0430\u0440\u043e\u0432 \u0421\u0442\u0430\u0442\u0443\u0441     \u041f\u0435\u0440\u0432\u044b\u0439 \u0443\u0434\u0430\u0440 \u041f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0439\r\n--------        ------ ------     ----------- ---------\r\n37.53.82.5          38 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 02.04 19:39 03.04 09:07\r\n80.94.95.221        37 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 02.04 18:41 02.04 23:41\r\n86.54.31.42         28 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 02.04 20:56 02.04 20:56\r\n178.20.210.137      19 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 03.04 01:32 03.04 01:51\r\n192.168.0.104       16 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 16:49 03.04 12:19\r\n192.168.0.188       12 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 10:05 03.04 12:02\r\n192.168.0.89        12 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 09:17 03.04 12:04\r\n192.168.0.71        12 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 06:37 03.04 11:58\r\n192.168.0.113       12 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 08:04 03.04 12:24\r\n192.168.0.121       12 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 08:26 03.04 12:05\r\n139.59.42.255       11 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 02.04 19:13 02.04 19:13\r\n192.168.0.80        11 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 08:30 03.04 15:41\r\n66.132.224.226      10 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 02.04 18:17 02.04 18:17\r\n94.26.68.55         10 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 03.04 14:02 03.04 14:10\r\n192.168.0.85         9 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 08:41 03.04 11:12\r\n192.168.0.158        8 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 08:56 03.04 13:39\r\n192.168.0.67         8 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 08:25 03.04 11:59\r\n192.168.0.66         8 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 11:54 03.04 13:46\r\n205.210.31.17        6 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 01:21 03.04 01:21\r\n18.116.101.220       6 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 20:42 02.04 20:47\r\n205.210.31.239       6 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 19:55 02.04 19:55\r\n147.185.132.100      6 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 07:51 03.04 07:51\r\n66.132.172.207       5 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 18:33 02.04 18:33\r\n66.132.186.187       5 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 06:27 03.04 06:27\r\n192.168.0.78         4 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 10:21 03.04 10:21\r\n165.154.120.77       4 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 02.04 17:06 03.04 15:05\r\n192.168.0.95         4 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 11:58 03.04 11:58\r\n192.168.0.198        4 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 16:44 03.04 15:05\r\n80.66.83.75          4 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 02.04 23:13 02.04 23:13\r\n64.227.18.98         3 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 02:50 03.04 03:00\r\n157.254.223.76       3 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 04:12 03.04 07:35\r\n52.140.102.59        3 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 08:09 03.04 14:33\r\n20.219.16.35         3 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 08:26 03.04 14:27\r\n209.126.82.146       2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 21:09 03.04 14:01\r\n94.72.110.157        2 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 02.04 17:20 02.04 20:11\r\n115.190.244.156      2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 18:16 02.04 22:33\r\n14.225.222.7         2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 20:20 02.04 22:30\r\n185.156.73.157       2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 10:35 03.04 11:38\r\n194.60.254.20        2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 12:42 03.04 12:42\r\n213.111.91.197       2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 22:12 03.04 12:37\r\n165.154.120.211      2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 11:44 03.04 12:12\r\n142.93.145.126       2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 16:14 02.04 19:59\r\n64.62.197.137        2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 12:46 03.04 12:46\r\n20.29.22.156         2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 04:24 03.04 04:24\r\n80.94.95.83          2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 23:50 03.04 09:53\r\n207.189.16.214       2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 03:32 03.04 05:43\r\n81.29.142.100        2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 07:05 03.04 07:54\r\n80.66.83.80          2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 21:04 03.04 08:41\r\n103.49.131.118       2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 07:38 03.04 10:55\r\n64.23.226.83         2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 23:02 02.04 23:02\r\n103.131.85.178       2 \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d 02.04 19:08 02.04 23:24\r\n135.237.126.209      2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   03.04 10:43 03.04 10:43\r\n84.247.165.192       2 \u0421\u0412\u041e\u0411\u041e\u0414\u0415\u041d   02.04 18:37 03.04 14:47\r\n\r\n\r\n\u0418\u0422\u041e\u0413: \u041e\u0411\u0415\u0417\u0412\u0420\u0415\u0416\u0415\u041d\u041e: 11 | \u0421\u0412\u041e\u0411\u041e\u0414\u041d\u041e: 42\r\n<\/pre>\n
\u041d\u0443 \u0438, \u0432 \u0441\u0430\u043c\u043e\u043c \u043a\u043e\u043d\u0446\u0435 \u043b\u0435\u043d\u0442\u044b, \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0441\u0442\u0430\u0442\u0438\u0441\u0442\u0438\u043a\u0430 \u043b\u043e\u0433\u0430 \u043f\u043e \u0442\u0438\u043f\u0430\u043c \u0441\u043e\u0431\u044b\u0442\u0438\u0439, \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0443 \u0445\u0438\u0442\u043e\u0432 \u0438 \u0443\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u044b\u0445 \u0445\u043e\u0441\u0442\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u043b\u0438 \u0443\u0447\u0430\u0441\u0442\u0438\u0435 \u0432 \u0430\u0442\u0430\u043a\u0430\u0445:<\/p>\n
=== [ \u0410\u041d\u0410\u041b\u0418\u0417\u0410\u0422\u041e\u0420 \u0410\u041a\u0422\u0418\u0412\u041d\u041e\u0421\u0422\u0418 \u041f\u041e ID ] ===\r\n\u0421\u0442\u0430\u0442\u0438\u0441\u0442\u0438\u043a\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0445 IP-\u0430\u0434\u0440\u0435\u0441\u0430\r\n(\u0437\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 24 \u0447.)\r\n\r\n\u041a\u043e\u0434 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u041e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u0439 \u0423\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u044b\u0445 IP\r\n----------- --------- -------------\r\n131               412            86\r\n140               151            39\r\n139                 9             7\r\n<\/pre>\n
\u041e\u0431\u0440\u0430\u0449\u0430\u0435\u043c \u0432\u0430\u0448\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043d\u0430 \u0442\u043e, \u0447\u0442\u043e \u0432 \u044d\u0442\u043e\u0439 \u0442\u0430\u0431\u043b\u0438\u0446\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0442\u0441\u044f \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0442\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e \u0443\u043a\u0430\u0437\u0430\u043d\u0438\u044e \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u044e\u0449\u0435\u0439 \u0442\u0430\u0431\u043b\u0438\u0446\u044b \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0435\u0442 ES-RDP, \u043d\u043e \u0432\u043e\u043e\u0431\u0449\u0435 \u0432\u0441\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u044f, \u0432 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0437\u0430\u0444\u0438\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d IP-\u0430\u0434\u0440\u0435\u0441 \u043b\u044e\u0431\u043e\u0433\u043e \u043a\u043b\u0438\u0435\u043d\u0442\u0430 RDP. \u0418\u0437 \u043d\u0435\u0435, \u043a\u0441\u0442\u0430\u0442\u0438, \u0445\u043e\u0440\u043e\u0448\u043e \u0432\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u0443\u043a\u0430\u0437\u0430\u043d\u0438\u0435 \u0432 \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u044e\u0449\u0435\u0439 \u0442\u0430\u0431\u043b\u0438\u0446\u0435 \u0438\u043c\u0435\u043d\u043d\u043e \u043a\u043e\u0434\u043e\u0432 140 \u0438 131 — \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u044b\u043c \u0440\u0435\u0448\u0435\u043d\u0438\u0435\u043c.<\/p>\n
\u0412\u044b\u0432\u043e\u0434\u044b \u0438 \u0440\u0435\u0442\u0440\u043e\u0441\u043f\u0435\u043a\u0442\u0438\u0432\u0430<\/h3>\n
\u0421\u0438\u0441\u0442\u0435\u043c\u0430 ES-RDP \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0432 \u043c\u043e\u0435\u043c \u043e\u043a\u0440\u0443\u0436\u0435\u043d\u0438\u0438 \u0443\u0436\u0435 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043d\u0435\u0434\u0435\u043b\u044c. \u0418 \u0432\u043e\u0442 \u0447\u0442\u043e \u044f \u043c\u043e\u0433\u0443 \u0441\u043a\u0430\u0437\u0430\u0442\u044c \u043f\u043e \u0438\u0442\u043e\u0433\u0430\u043c.<\/p>\n
\u0427\u0442\u043e \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u043e\u0441\u044c \u0445\u043e\u0440\u043e\u0448\u043e<\/h4>\n
\u0426\u0435\u043b\u044c \u0434\u043e\u0441\u0442\u0438\u0433\u043d\u0443\u0442\u0430 \u2014 \u0431\u043e\u0442\u043d\u0435\u0442, \u0430\u0442\u0430\u043a\u043e\u0432\u0430\u0432\u0448\u0438\u0439 RDP, \u0431\u044b\u043b \u043d\u0435\u0439\u0442\u0440\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d. \u041a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u00ab\u043f\u0440\u0435\u0441\u0442\u0443\u043f\u043b\u0435\u043d\u0438\u0439\u00bb \u0432 \u043b\u043e\u0433\u0430\u0445 \u0443\u043f\u0430\u043b\u043e \u0441 \u0442\u044b\u0441\u044f\u0447 \u0434\u043e \u0434\u0435\u0441\u044f\u0442\u043a\u043e\u0432 \u0432 \u0441\u0443\u0442\u043a\u0438. \u0420\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0430\u0432\u0442\u043e\u043d\u043e\u043c\u043d\u043e \u2014 \u0441\u043a\u0440\u0438\u043f\u0442, \u0437\u0430\u043f\u0443\u0449\u0435\u043d\u043d\u044b\u0439 \u0447\u0435\u0440\u0435\u0437 Task Scheduler, \u043d\u0435 \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u0440\u0443\u0447\u043d\u043e\u0433\u043e \u0432\u043c\u0435\u0448\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430. \u0411\u0430\u043d\u0445\u0430\u043c\u043c\u0435\u0440 \u0441\u0430\u043c \u043d\u0430\u0445\u043e\u0434\u0438\u0442 \u0446\u0435\u043b\u0438, \u0441\u0430\u043c \u0431\u043b\u043e\u043a\u0438\u0440\u0443\u0435\u0442, \u0441\u0430\u043c \u0430\u043c\u043d\u0438\u0441\u0442\u0438\u0440\u0443\u0435\u0442 \u0441\u0442\u0430\u0440\u044b\u0445 \u0437\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u043d\u044b\u0445. \u041f\u0440\u043e\u0437\u0440\u0430\u0447\u043d\u043e\u0441\u0442\u044c \u2014 \u0441\u043a\u0440\u0438\u043f\u0442 stat_all.ps1 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0432 \u043b\u044e\u0431\u043e\u0439 \u043c\u043e\u043c\u0435\u043d\u0442 \u0437\u0430\u0433\u043b\u044f\u043d\u0443\u0442\u044c \u0432 \u00ab\u0442\u044e\u0440\u044c\u043c\u0443\u00bb \u0438 \u043f\u043e\u043d\u044f\u0442\u044c, \u043a\u0442\u043e \u0441\u0438\u0434\u0438\u0442, \u0437\u0430 \u0447\u0442\u043e \u0438 \u043a\u043e\u0433\u0434\u0430 \u0432\u044b\u0439\u0434\u0435\u0442.<\/p>\n
\u0427\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u043b\u0443\u0447\u0448\u0435<\/h4>\n
\u041a\u043e\u0434 PowerShell \u2014 \u0434\u0430, \u044f \u043d\u043e\u0432\u0438\u0447\u043e\u043a. \u041e\u043f\u044b\u0442\u043d\u044b\u0439 Windows-\u0430\u0434\u043c\u0438\u043d \u043d\u0430\u0432\u0435\u0440\u043d\u044f\u043a\u0430 \u043d\u0430\u0439\u0434\u0435\u0442, \u043a \u0447\u0435\u043c\u0443 \u043f\u0440\u0438\u0434\u0440\u0430\u0442\u044c\u0441\u044f: \u0433\u0434\u0435-\u0442\u043e \u043d\u0435\u043e\u043f\u0442\u0438\u043c\u0430\u043b\u044c\u043d\u0430\u044f \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u043c\u0430\u0441\u0441\u0438\u0432\u043e\u0432, \u0433\u0434\u0435-\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u043e\u0431\u043e\u0439\u0442\u0438\u0441\u044c \u0431\u0435\u0437 \u043b\u0438\u0448\u043d\u0438\u0445 \u0446\u0438\u043a\u043b\u043e\u0432. \u041e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u043e\u0448\u0438\u0431\u043e\u043a \u2014 \u0441\u0435\u0439\u0447\u0430\u0441 \u0441\u043a\u0440\u0438\u043f\u0442 \u043c\u043e\u043b\u0447\u0430 \u0433\u043b\u043e\u0442\u0430\u0435\u0442 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b \u0441 \u0447\u0442\u0435\u043d\u0438\u0435\u043c \u043b\u043e\u0433\u043e\u0432. \u0412 \u043f\u0440\u043e\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u043e\u0439 \u0441\u0440\u0435\u0434\u0435 \u0441\u0442\u043e\u0438\u043b\u043e \u0431\u044b \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c \u0443\u0432\u0435\u0434\u043e\u043c\u043b\u0435\u043d\u0438\u044f. \u041c\u0430\u0441\u0448\u0442\u0430\u0431\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u2014 \u043f\u0440\u0438 \u0442\u044b\u0441\u044f\u0447\u0430\u0445 \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0445 \u0431\u0430\u043d\u043e\u0432 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u044c `Get-NetFirewallRule` \u043c\u043e\u0436\u0435\u0442 \u043f\u0440\u043e\u0441\u0435\u0441\u0442\u044c. \u041c\u043d\u0435 108 \u043f\u0440\u0430\u0432\u0438\u043b \u0431\u044b\u043b\u043e \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e, \u043d\u043e \u043d\u0430 \u0431\u043e\u043b\u044c\u0448\u0438\u0445 \u0444\u0435\u0440\u043c\u0430\u0445, \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u0443\u0437\u043a\u043e\u0435 \u043c\u0435\u0441\u0442\u043e (\u043d\u0430 \u0441\u0430\u043c\u043e\u043c \u0434\u0435\u043b\u0435 — \u043d\u0435 \u0437\u043d\u0430\u044e, \u043d\u0435 \u0443\u0432\u0435\u0440\u0435\u043d).<\/p>\n
\u0421\u0442\u043e\u0438\u0442 \u043b\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c ES-RDP?<\/h4>\n
\u0414\u0430, \u0435\u0441\u043b\u0438 \u0443 \u0432\u0430\u0441: \u043d\u0435\u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u0438\u043b\u0438 \u0441\u0440\u0435\u0434\u043d\u0438\u0439 RDP-\u0441\u0435\u0440\u0432\u0435\u0440; \u043d\u0435\u0442 \u0431\u044e\u0434\u0436\u0435\u0442\u0430 \u043d\u0430 \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0437\u0430\u0449\u0438\u0442\u044b; \u0435\u0441\u0442\u044c \u0431\u0430\u0437\u043e\u0432\u044b\u0435 \u043d\u0430\u0432\u044b\u043a\u0438 \u0440\u0430\u0431\u043e\u0442\u044b \u0441 PowerShell \u0438 Task Scheduler; \u0432\u0430\u043c \u043d\u0443\u0436\u043d\u0430 \u0431\u0435\u0441\u043f\u043b\u0430\u0442\u043d\u0430\u044f \u0438 \u043f\u0440\u043e\u0437\u0440\u0430\u0447\u043d\u0430\u044f \u0430\u043b\u044c\u0442\u0435\u0440\u043d\u0430\u0442\u0438\u0432\u0430 \u00ab\u0447\u0435\u0440\u043d\u044b\u043c \u044f\u0449\u0438\u043a\u0430\u043c\u00bb.<\/p>\n
\u0412\u043c\u0435\u0441\u0442\u043e \u044d\u043f\u0438\u043b\u043e\u0433\u0430<\/h3>\n
\u042f \u043d\u0435 \u0444\u0430\u043d\u0430\u0442 Windows. PowerShell \u043d\u0435 \u0441\u0442\u0430\u043d\u0435\u0442 \u043c\u043e\u0438\u043c \u043b\u044e\u0431\u0438\u043c\u044b\u043c \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u043c. \u041d\u043e \u043a\u043e\u0433\u0434\u0430 \u0437\u0430\u0434\u0430\u0447\u0430 \u0441\u0442\u043e\u0438\u0442 \u2014 \u0437\u0430\u0449\u0438\u0442\u0438\u0442\u044c \u0441\u0435\u0440\u0432\u0435\u0440 \u0437\u0434\u0435\u0441\u044c \u0438 \u0441\u0435\u0439\u0447\u0430\u0441 \u2014 \u043f\u0440\u0438\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0431\u0440\u0430\u0442\u044c \u0442\u043e, \u0447\u0442\u043e \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442. ES-RDP \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442. \u042f \u043d\u0430 \u044d\u0442\u043e\u043c \u0441\u0442\u0430\u0432\u043b\u044e \u0442\u043e\u0447\u043a\u0443 \u0438 \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u044e\u0441\u044c \u043a Linux. \u041f\u043e\u043b\u044c\u0437\u0443\u0439\u0442\u0435\u0441\u044c, \u043a\u0440\u0438\u0442\u0438\u043a\u0443\u0439\u0442\u0435, \u0443\u043b\u0443\u0447\u0448\u0430\u0439\u0442\u0435 (\u043d\u0435 \u0437\u0430\u0431\u044b\u0432\u0430\u044f \u0441\u0441\u044b\u043b\u0430\u0442\u044c\u0441\u044f \u043d\u0430 \u043f\u0435\u0440\u0432\u043e\u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a).<\/p>\n","protected":false},"excerpt":{"rendered":"
\u041f\u043e\u0441\u043b\u0435 \u0442\u043e\u0433\u043e, \u043a\u0430\u043a \u044f \u043e\u0447\u0435\u043d\u044c \u0447\u0435\u0442\u043a\u043e (\u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0438\u0432\u043d\u043e \u0438 \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u043e) \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u043b\u0441\u044f \u0443 \u0441\u0435\u0431\u044f \u0441 botnet \u043d\u0430 \u041b\u0438\u043d\u0443\u043a\u0441\u0435 (\u0432 \u043f\u043b\u0430\u043d\u0435 \u0430\u0442\u0430\u043a \u043d\u0430 bind, nginx, postfix, sshd \u0438 \u0442.\u043f. \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0434\u043e\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043d\u043e\u0433\u043e \u043c\u043d\u043e\u044e fail2ban), \u043c\u043d\u0435 \u043f\u0440\u0438\u0448\u043b\u043e \u0432 \u0433\u043e\u043b\u043e\u0432\u0443, \u0447\u0442\u043e \u0447\u0435\u0440\u0435\u0437 \u044d\u0442\u0438 \u0448\u043b\u044e\u0437\u044b \u043c\u043e\u0433\u0443\u0442 \u0442\u0430\u043a\u0436\u0435 \u0438\u0434\u0442\u0438 \u0430\u0442\u0430\u043a\u0438 \u0438 \u043d\u0430 \u043c\u043e\u0438 RDP \u0441\u0435\u0440\u0432\u0435\u0440\u044b \u043f\u043e\u0434 Windows (2012 R2).<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[146],"tags":[158,157],"class_list":["post-3726","post","type-post","status-publish","format-standard","hentry","category-it","tag-rdp","tag-windows"],"_links":{"self":[{"href":"https:\/\/livespace.arbat.name\/index.php?rest_route=\/wp\/v2\/posts\/3726","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/livespace.arbat.name\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/livespace.arbat.name\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/livespace.arbat.name\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/livespace.arbat.name\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3726"}],"version-history":[{"count":0,"href":"https:\/\/livespace.arbat.name\/index.php?rest_route=\/wp\/v2\/posts\/3726\/revisions"}],"wp:attachment":[{"href":"https:\/\/livespace.arbat.name\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3726"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/livespace.arbat.name\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3726"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/livespace.arbat.name\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3726"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}