这是一个创建于 368 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天早晨到了公司,习惯性的远程家中的电脑(家中挂魔法使用 ChatGPT+摸鱼),发现中了勒索病毒,文件都被加密了,我的电脑是裸奔的,临时下了一个火绒扫到了病毒文件;这时候很怕波及到工作电脑,想溯源看一下是哪里出了问题。
搜索了一下这种情况基本都是 RDP 爆破导致的,文件的加密时间是凌晨 3 点,查看 windows 系统日志发现 2:57 有 RDP 连接记录,但是记录的源网络地址是: 127.0.0.1 ,不是组网 ip 或者局域网 ip ,应该是映射到的,此时虽然还不知道是哪个软件出了问题,但是应该是不会波及到工作电脑了,还是心安了一些。
在查看 windows 系统日志我也发现了一个问题,我并没有看到登录失败的报错,虽然我的密码很简单(图方便:1111 ),但真的一次就连上了吗,此处待定。上面确定是域名映射到了本地的 3389 端口,回想了一下我使用的映射应该只有 zeronews 和 cloudflared ,可能是官网被爆破了?未知,最后还是没有锁定问题。
最后,已老实。以后会使用强度更高的密码,使用大厂背书的软件。
大家有什么可以进一步溯源或者安全方面的建议吗?
搜索了一下这种情况基本都是 RDP 爆破导致的,文件的加密时间是凌晨 3 点,查看 windows 系统日志发现 2:57 有 RDP 连接记录,但是记录的源网络地址是: 127.0.0.1 ,不是组网 ip 或者局域网 ip ,应该是映射到的,此时虽然还不知道是哪个软件出了问题,但是应该是不会波及到工作电脑了,还是心安了一些。
在查看 windows 系统日志我也发现了一个问题,我并没有看到登录失败的报错,虽然我的密码很简单(图方便:1111 ),但真的一次就连上了吗,此处待定。上面确定是域名映射到了本地的 3389 端口,回想了一下我使用的映射应该只有 zeronews 和 cloudflared ,可能是官网被爆破了?未知,最后还是没有锁定问题。
最后,已老实。以后会使用强度更高的密码,使用大厂背书的软件。
大家有什么可以进一步溯源或者安全方面的建议吗?
 | 1 wuud 2024-10-15 16:38:06 +08:00 127.0.0.1 是本机 IP ,通过描述猜测可能是把家中电脑端口转发到公网 IP ,导致主机密码被爆破。 可以通过查看端口转发或服务器日志,2:57 分有哪个 IP 连接了 一般的防护方法就是更改默认用户名,使用强密码,不对外映射端口或使用白名单策略,可以但不建议安装杀软 |
 | 2 Tamio 2024-10-15 16:46:35 +08:00 你是有公网 IP 吗? 用的是 windows 远程桌面还是别的什么方案? |
 | 3 lizy0329 2024-10-15 16:51:51 +08:00 前阵子才中了,公司测试环境全崩 |
 | 4 loocao 2024-10-15 16:52:14 +08:00 @Tamio #2 127.0.0.1 连接 RDP ,应该是被什么软件装了后门,把 3389 端口转发到某个公网 IP 了。 如果是有公网 IP 直接连接 RDP ,windows 系统日志里面看到的就是对方的公网 IP 了,而不是 127.0.0.1 。 |
 | 5 someonesnone 2024-10-15 16:52:52 +08:00 我已经把 3389 改成别的端口了,,, 不知道有没有更强的防护作用 |
 | 6 idragonet 2024-10-15 17:04:37 +08:00 映射公网肯定开 IP 白名单的。 |
 | 7 liuzimin 2024-10-15 17:35:32 +08:00 我以前用 cpolar 做的内网穿透,也中招过一次。当时密码设得贼简单:test123456 。中招后只看了下杀毒软件报的毒叫 neshta 。然后情急之下也没管什么溯源了,直接就重装系统了。。。 从此不敢再用这种内网穿透方案(虽然知道问题主要是弱密码+3389 ),后改用 tailscale 了。 |
 | 11 jjrhlb OP @someonesnone 应该是有的吧,重装之后我也修改下 |
| 12 jjrhlb OP @liuzimin 你这么一说,我也是挂着 cpolar 的,不会是这个吧发布到公网确实危险,重装以后老老实实用 组网工具了 |
 | 14 yinmin 2024-10-15 18:37:32 +08:00 via iPhone @someonesnone #5 rdp 改端口没有用的,放公网几天就被盯上不断的攻击了。rdp 最妥当的方式还是先 vpn 再 rdp |
 | 15 MFWT 2024-10-15 18:40:54 +08:00 建议还是套一层 VPN ,久经考验的 VPN (包括但不限于 Tailscale 那种底层调用成品 VPN 的)安全性,多多少少会比某个小软件好一些 |
| 16 MFWT 2024-10-15 18:41:43 +08:00 而且 1111 这种密码基本上就是各大密码库常客了,和 123456 不分伯仲 |
 | 18 a1210968738 2024-10-15 22:53:04 +08:00 via Android 几年前的电脑也是开了 rdp 到公网中了勒索病毒文件全加密了,有没有 v 友知道这么多年了是否有可能解密回来? |
 | 19 proxytoworld 2024-10-15 23:36:06 +08:00 估计是自动加密的,黑客没有专门看你电脑,不然你公司电脑也会被感染 |
| 20 proxytoworld 2024-10-15 23:36:45 +08:00 @a1210968738 看什么家族吧,老美弄过解密工具应该是,部分家族可以解密 |
 | 21 hez2010 2024-10-15 23:41:21 +08:00  5 参考 https://inc.sysu.edu.cn/article/1050 ,给 RDP 加个 2FA 解决一切问题。 不知道为啥虽然 Windows 提供了远程登录的 2FA 接口,却没有内置 2FA 的实现。 |
 | 22 guanzhangzhang 2024-10-16 00:04:06 +08:00 frp 这类端口映射工具就是这样阿,你把端口暴漏出去就是众生平等了,还不如自建软件组内网,三层 IP 层都通了,四层的端口就不需要加映射了 |
 | 23 bouts0309 2024-10-16 01:02:39 +08:00 可以用 wg 套一层? |
 | 24 creepersssss 2024-10-16 01:09:55 +08:00 不建议端口转发,做一层 VPN 最安全也最正规 |
 | 25 datocp 2024-10-16 02:33:25 +08:00 via Android 搜索一下有个叫 iptables recent hacker ,后来 openwrt 有 ipset 就改成这样了 -A INPUT -i eth1 -m set --match-set banned_hosts src -j DROP -A INPUT -i eth1 -p udp -m multiport --dports 80,161,1863,4466,5060 -j SET --add-set banned_hosts src -A INPUT -i eth1 -p tcp -m multiport --dports 20,23,25,110,135,137:139,161,445,1080,2323,3128,3306,3389 -j SET --add-set banned_hosts src softether 提供的 vpn 肯定必须的 至于电脑乱按软件导致的特洛伊木马,那是无解的,simplefirewall 伺侯。 |
 | 26 ltkun 2024-10-16 02:48:44 +08:00 via Android 这年头为啥不试试放弃 windows 这种系统 有啥离不开的理由吗 |
 | 28 Folder 2024-10-16 06:53:38 +08:00 我用 fps 做的内网穿透, 高端口号, uuid 密码, 用 tls 加密流量. 用了两年了都挺好的. |
 | 29 zhuang0718 2024-10-16 06:54:45 +08:00 via iPhone 我把家里 NAS 的 docker 也映射了公网端口 看的我不敢开了…… |
 | 30 privater 2024-10-16 07:31:19 +08:00 @zhuang0718 这些鸟人不一定有加密 nas 文件系统的水平,用 Windows 的小白遍地走,从性价比角度出发也是针对 Windows 开发勒索软件来得“实惠” |
 | 31 zhangeric 2024-10-16 08:18:57 +08:00 不知道用的啥系统,以前配置过 windows server,可以配置远程连接重试次数,密码错误了,可以锁定该账号登录 1 小时,另外把常用的账号 administrator 给禁了,换一个不常见的账号做管理员. |
 | 32 Davy 2024-10-16 08:22:39 +08:00 为啥裸奔? Windows Security 不好用吗? |
 | 33 xxmaqzas 2024-10-16 08:29:41 +08:00 国庆前公司中招了,nas 和 svn 全给加密了,得亏有备份,自己电脑有火绒,躲过一劫 |
 | 34 xiaoheicat 2024-10-16 08:46:06 +08:00 via iPhone 今年公司电脑因为 rdp 中过一次勒索病毒。原因是自己图方便把 3389 直接暴露公网了,换了高位端口也没用,而且密码也是中英文加数字的组合密码。 只能说 windows 的安全策略还是太垃圾,远程桌面错误不限制能一直尝试就很有问题!!! mac Linux 都有一些安全手段冷却的 后面重刷系统后换 tailscale 了 |
 | 35 ShinichiYao 2024-10-16 08:52:36 +08:00 1 现在哪有什么黑客吃饱了攻击个人或者小企业用户,都是脚本小子撒网式攻击,网络安全别太拉跨(默认用户、超简单密码,暴漏洞的现成框架,一键脚本)都不会有事 |
 | 36 cleanery 2024-10-16 09:15:40 +08:00 |
 | 37 JKOR 2024-10-16 09:19:36 +08:00 不能直接暴露在公网,可以使用 cloudflare tunnel |
 | 38 keyfunc 2024-10-16 09:22:33 +08:00 @xiaoheicat 可以限制啊 |
 | 39 conglovely 2024-10-16 09:27:31 +08:00 1  |
 | 40 lightionight 2024-10-16 09:52:23 +08:00 rdp 远程公网建议加一一个 2FA , 比如 DUO |
| 41 jjrhlb OP 这个不优选直接使用有点子小卡的 |
| 43 a1210968738 2024-10-16 10:23:50 +08:00 via Android @proxytoworld 有什么参考资料吗?我去了解一下 |
 | 44 yiton 2024-10-16 10:38:23 +08:00 你这和我疫情那阵的遭遇差不多,我房间有个上网本用来看片的,有次传东西开了 dmz 忘记关,密码是 1234 ,晚上看片的时候莫名经常登出,第二天才发现电脑被爆破了,桌面上多了一堆脚本小子用的工具,估计那小子看我电脑性能很差,就没搞了 |
 | 45 sss15 2024-10-16 10:45:20 +08:00 我以前 frp 把工作电脑放到公网上,弱密码 1 也是裸奔不装任何杀毒软件,然后也是被加密勒索了,后来就老实了,现在不敢把电脑放到公网了,装了 360 ,密码也不再是 1 了 |
| 46 proxytoworld 2024-10-16 10:46:16 +08:00 |
 | 47 Dukec 2024-10-16 10:46:48 +08:00 裸奔?连微软自带的 Defender 防病毒都没开吗? |
 | 48 obeykarma 2024-10-16 15:49:21 +08:00 macos 保平安 |
 | 51 way2create 2024-10-16 16:47:06 +08:00 我都是用 tailscale 或 zerotier 或 radmin vpn 这种打通了再连 rdp 的应该没事吧 我路由都没设置端口转发也没用什么暴露到公网的内网穿透 |
| 52 jjrhlb OP @way2create 这样没事的,我是 zerotier 被公司 ban 了、tailscale 延迟高才没用这个方案 |
| 53 xiaoheicat 2024-10-16 23:00:05 +08:00 @jjrhlb #52 可以自建 tailscale 的中转节点啊,比较稳 |
| 54 xiaoheicat 2024-10-16 23:01:16 +08:00 @cleanery 系统是 win10 的,安全策略一直没配置过,机器到手了就直接用了 |
 | 57 Autonomous 361 天前 任何时候都不要使用弱密码 不用 3389 端口,改用其他高位端口 |
Select Language