不是标题党。
今天正在用着电脑,突然就锁屏了。
我立刻输入密码登录,屏幕分辨率有个调整的过程 (用过远程登录的老哥应该见过这种现象),猜测应该是被远程登录了。
Windows LTSC 2019 (ver 1809)
刚重装系统不久,前几天装 LTSC 2021 蓝屏,就又装回了 2019 。
应该没用过什么垃圾软件,安装了火绒。
坐标北京。
机器一般 24 小时开机。
我没有把系统的用户名、密码告知他人,当然用户名很容易获取,密码设置的比较简单。
开启了远程桌面。路由器拨号,并设置了端口转发到机器的 3389 端口,以备不时之需。
事件管理器截图 https://imgur.com/a/O7bKE88
发现从 2021 年 12 月 9 日至今,一直在被暴力破解。 (之前的不清楚,前几天手贱清了系统日志)
暴力破解的 ip 来自世界各地,怀疑他们也是肉鸡。
部分 ip 如下:
首先庆幸自己重装系统后没有开启 IIS 的 WebDAV ,重装前之前一直开着的,把机器当 NAS 用。
也庆幸自己半夜醒了,起来玩会电脑,早发现早治疗。
其实当个肉鸡,被挖矿、弹个广告啥的没什么,费点电的事,也很容易发现。当然事情肯定没那么简单。
但资料被窃、资料被加密就特别可怕。
可以说机器上有我所有的资料,包括但不限于十几年来的照片、各个网站的密码,甚至银行卡信息。
已经被成功远程登录,越想越后怕吧。
老哥们,我该怎么办?!
毕竟工作什么的,偶尔还是需要远程下家里的电脑的。
躺床上用手机远程电脑 /WebDAV 看个视频也是挺方便的。
我先关机拔电源补会觉(毕竟还开了 WOL),希望老哥们能给出各种意见和建议。先提前感谢各位老哥!
当然有的老哥也需要看看自己的电脑和 NAS 有没有被黑。
1
czwstc 2021-12-11 07:16:53 +08:00 via iPhone 6
用户名很容易获取,密码设置的比较简单
这还能怪谁呢?总归要经历一下的。 一般开启 ms 账号登录之后会好些。 我见过最傻逼的。 直接 Administer + ABC123 |
2
czwstc 2021-12-11 07:20:21 +08:00 via iPhone 1
我的建议就是。 远程端口一定不能开给公网。
或者你开到公网的远程端口。 既然有被破解的风险,就不要存放敏感的资料。 越是重要的资料,就要通过更安全的方式访问,否则任何一个薄弱的地方,直接导致你所有资料泄露。 (不过一般性这种远程登录大概率是肉鸡。 很少真人登陆然后拿你所有资料的..)如果你发现得晚一点,你的帐号密码就被改了。 |
3
chengfeng1992 OP @czwstc #1 js 应该就可以获取到用户名吧,所以看个网页就把用户名丢了。端口就是扫一下的事。
我倒是没启用 Administrator ,自己设置的用户名,给了最高权限,还关了 UAC 。 没用 ms 账号,感觉 kms 激活也是盗版,自己耍了个偷偷摸摸的小聪明吧。 我的密码和 ABC123 比起来。。。只能说我和“最傻逼”也不遑多让吧。 |
4
czwstc 2021-12-11 07:28:33 +08:00 via iPhone 1
|
5
Livid MOD |
6
msg7086 2021-12-11 07:48:45 +08:00 1
暴露 3389 还弱密码?这比用 TV 还不靠谱啊……
|
7
gtchan13579 2021-12-11 07:51:09 +08:00 1
路由器转发 3389 到非标端口 会不会相对来说好一点
|
8
Greatshu 2021-12-11 07:54:22 +08:00 1
你需要且仅需要这个 https://www.dashlane.com/zh/features/password-generator
和什么 UAC 和 KMS 没有关系,上 VPN 真的没必要(企业用途除外),从 Windows2003 用到 2019 ,从类没有被暴力破解入侵过。记得定期安装更新。 最好再用一个密码管理器管理密码,推荐 keepass+webdav 同步。 |
9
wolong 2021-12-11 08:04:49 +08:00 1
我更慌,连自己有没有被暴力破解都不知道。
倒是我没有公网 IP ,也没有安装第三方远程软件,电脑也只是用的时候才开机。 |
10
ragnaroks 2021-12-11 08:48:50 +08:00 2
ZeroTier 在这种需求上是 TierZero 的
|
11
villivateur 2021-12-11 08:51:46 +08:00 via Android 1
用 wireguard 建 VPN
|
12
skinny 2021-12-11 09:04:46 +08:00 1
@gtchan13579 一般改端口是为了减少一点傻瓜式扫描,减少一点日志,基本安全工作没做好依然没用,毕竟全端口扫描也不费多少时间。
|
13
sudoy 2021-12-11 09:10:19 +08:00 1
建议用 zerotier 组网,很方便的
|
14
dxgfalcongbit 2021-12-11 09:31:32 +08:00 via Android 1
那就用 OpenVpn+远程桌面?我 3389 也映射着呢,作为 OpenVpn 失效时的备用方案。
刚才本来有点慌,但看到 9 楼想起来我为了碳达峰 NAS 平时根本不开机,要用的时候远程唤醒一下。另外我密码算比较正常的那种…很少拿 NAS 浏览网页是不是用户名暴露风险也低一点? |
15
PatrickLe 2021-12-11 09:32:33 +08:00 1
我的就是默认端口 3389 ,开启了转发,用的 Administer 账户,但是我的密码是 1p 生成的 50 位超复杂随机密码,用了大半年了,每天 24 小时被扫,也没出问题
密码复杂程度差不多就是这样:fZY~df.m^K~^D8DssZqMply+KBi=z=JTDjhM4!0zu*Sa^^wm(E 等到爆破估计得天荒地老吧😂 |
16
aulay 2021-12-11 09:53:18 +08:00 1
我没有公网,都是用 frp 工具通过自己的服务器远程连接电脑🤣
|
17
markgor 2021-12-11 10:01:06 +08:00 3
其实我是这样认为的,通过论坛帖子拿到最终解决方案并且实施成功是不可能的,
这需要你各方面的知识和平时的规范。 NAS 为何卖那么贵(对比自行组装),那是因为它的软件已经针对常规的安全隐患进行处理,你只需要定期给它更新即可。 经常有人会让你用一大堆开源方案,搭建个 NAS ;而实际情况却是你会遇到很多各种各样的奇葩问题,自己有能力解决的情况下还好,自己没能力解决的时候你会发现你又浪费了一天。 我就是之前用了开源方案后,被各种坑,随后才换了黑裙..... 不过相对而言,哪怕是开源的 NAS ,安全策略配置也比你直接 win 开外网好... |
19
fantasylidong 2021-12-11 10:13:48 +08:00 via Android 1
端口转发别用 3389 ,最好的办法是弄个 vpn ,通过 vpn 回家
|
20
xdzhang 2021-12-11 10:17:50 +08:00 1
改端口肯定是第一步,弱口令肯定是不应该存在的。
|
21
msmmbl 2021-12-11 10:18:25 +08:00 1
查下 windows 版的 fail2ban ,暴力破解的直接自动 IP 防火墙拉黑名单,还有就是转发到非标端口
|
22
dxgfalcongbit 2021-12-11 10:26:10 +08:00 via Android 1
我刚刚把端口转发关了,想了想就算 OpenVpn 失效我临时开端口转发也是可以的,端口转发没必要 24 小时开启。
|
23
Osk 2021-12-11 10:46:47 +08:00 5
1. 不要使用弱密码, 为防止自己偷懒, 请打开 secpol.msc, 启用账户策略:密码必须满足复杂度等策略, 并且一定账户登录失败锁定, 比如登陆失败 3 次后锁定 5 分钟.
2. 开启 Windows Update. 3. 不要关闭 uac. 4. 不要去下载来自互联网的激活工具, kmspico 最近才出事呢. 5. 很多人没提到的一点: 远程桌面应只允许网络级身份验证(NLA), 因为见过有人启用远程桌面时顺便取消了只允许 nla 那个复选框... 6. rdp 不要使用默认的 3389 端口. 7. 禁用 administrator 用户, 或者改名. 8. 还有一点, 也是很多人忽略的一点: 考虑到默认情况下 rdp 使用的是自签证书, 一般建议是要么改成对应的 ssl 证书, 要么请记录下你机器的 rdp 自签证书指纹, 客户端登陆时提示证书问题时不要无脑点击确认了. 查看证书, 管理员身份 powershell 运行: ```ps1 ls cert:\localmachine\my ``` 做好上面这些再考虑 ssh/open vpn 隧道等方案吧, 毕竟谁也不能保证不部署的这些方案没有漏洞. 至于使用第三方远程软件, 谁也不能保证它们就没漏洞或者其他问题. |
24
yidinghe 2021-12-11 11:12:41 +08:00 via Android 1
你当 nas 用还要啥远程桌面
|
25
PrinceofInj 2021-12-11 11:14:34 +08:00 via Android 1
@Osk 第一个失败后锁定就是坑自己,见过好多人有因为这个搞得管理员账号变成时时刻刻都在锁定状态了
|
26
oott123 2021-12-11 11:14:51 +08:00 via Android 1
提一个上面没说的,被人远程登录过的系统最好重装一下
|
27
Osk 2021-12-11 11:18:53 +08:00 1
@PrinceofInj 感谢提醒, 确实容易把自己锁定在外头, 但我觉得还是有必要.
一般要开这个的话, 建议是添加第二个管理员用户, 但禁止此用户远程登陆, 因为我用的大部分是虚拟机, 被锁定了还能通过控制台登录. |
28
LPeJuN6lLsS9 2021-12-11 11:33:33 +08:00 1
反正也被破解了,不公布一下你的弱密码吗
|
29
Autonomous 2021-12-11 11:35:06 +08:00 1
3389 太危险了
|
30
Autonomous 2021-12-11 11:36:23 +08:00 1
还有 ssh ,telnet 等端口配置转发都是高危的
|
31
mscsky 2021-12-11 11:47:57 +08:00 via Android 1
运营商不给普通人公网是为了你好
|
32
mineralsalt 2021-12-11 11:56:13 +08:00 1
把密码管理器用上吧, 良心建议, 所以密码用密码器生成管理, 不要重复使用
|
33
chengfeng1992 OP @mscsky #31 坐标北京,ISP 联通,拨号就是公网 IP 。路由器拨号,不重启路由器一般不会改 IP ,约等于固定公网 IP 。虽说我做了 DDNS ,但是用不到。
当然这个被黑纯粹是我自己傻逼,和 ISP 没关系。 |
34
chengfeng1992 OP |
36
chengfeng1992 OP |
37
chengfeng1992 OP @mineralsalt #32 老哥有推荐吗,需要多平台,Windows 、macOS 、Linux 、iOS 、Android ,至少也得是 Chrome 扩展+iOS
|
38
chengfeng1992 OP @oott123 #26 收到,准备再试一下 LTSC 2021 ,希望别再蓝屏了。
|
39
chengfeng1992 OP @yidinghe #24 这不是 NAS 功能不够嘛。NAS 估计也是一样被黑,怕了怕了,改了改了。
|
40
sunnyadamm 2021-12-11 12:14:37 +08:00 1
首先换了远程端口,其次修改用户 administrator 为其他用户名,更改复杂密码,路由器加端口白名单基本问题就不大了,或者就按照楼上说的 zerotier 或其他 vpn 手段吧,不建议端口直接转发
|
41
chengfeng1992 OP @aulay #16 其实我也做了 frp 的 STCP ,就是感觉手机远程起来不方便,才又开了直接远程。
|
42
chengfeng1992 OP @Livid #5
@ragnaroks #10 @villivateur #11 @sudoy #13 @dxgfalcongbit #14 @fantasylidong #19 @dxgfalcongbit #22 收到,各位大佬,我学习下这些组网方案。 |
43
chengfeng1992 OP @PatrickLe #15 大佬,您这密码怎么本地登录,只是远程登录吗
|
44
chengfeng1992 OP @czwstc #4 这一次我就改了,怕死了。亡羊补牢 ing...
|
45
chengfeng1992 OP @markgor #17 大佬几句话让我受益匪浅。感谢。
|
46
gefranks 2021-12-11 12:28:39 +08:00 1
说到底还是因为弱密码.
|
47
chengfeng1992 OP @gefranks #46 弱密码只是最短那块木板而已。看了楼上各位大佬的回复,发现问题还是挺多的。
|
48
dethan 2021-12-11 12:36:28 +08:00 via Android
来电启动+智能插座
|
49
chengfeng1992 OP @dethan wol 我确实是这么做的。 也在考虑组网方案了,wol 解决不了安全的问题。
|
50
dethan 2021-12-11 12:48:00 +08:00 via Android
@chengfeng1992 用的时候才开机,没啥问题啊 还省电
|
51
clickhouse 2021-12-11 12:48:21 +08:00
组网,上面各种软件也都说了,很多,我用的是 wireguard 。
|
52
HFX3389 2021-12-11 12:50:28 +08:00
@chengfeng1992 #41 我也是在想着 iPad 怎么 stcp....
|
53
geniussoft 2021-12-11 12:52:46 +08:00 via iPhone
@mscsky 公网 IP 也得过路由器,不做端口映射和 UPnP ,根本访问不了设备。
主要是运营商不想让你们做 mCDN ,恨不得把你们 NAT 全都互相彻底分开,直联不得。 |
54
0017 2021-12-11 12:54:22 +08:00 1
改端口立竿见影
说改端口没用的怀疑都是卧底,根本没人闲到搞全端口扫描...... |
55
HFX3389 2021-12-11 13:01:19 +08:00
@chengfeng1992 #41 而且很奇怪的是,我电脑的 stcp 连 RDP ,每个几秒就会断开连接....
|
56
HFX3389 2021-12-11 13:29:43 +08:00
结果好像我把版本更新成 0.38.0 就不会了.........好久没更新了...
|
57
mytsing520 2021-12-11 13:54:21 +08:00
向日葵
|
58
dicc 2021-12-11 14:00:04 +08:00
windows 本地策略,账号设置登录密码错误次数达到多少就锁定几分钟,然后密码强度高点,基本就不可破了
|
59
yangzzzzzz 2021-12-11 14:44:58 +08:00
先改个强密码和端口吧。
|
60
xavierskip 2021-12-11 17:10:17 +08:00
@PatrickLe #15 你不怕 0day 吗?换个端口更放心点。
|
61
byte10 2021-12-11 19:12:05 +08:00 1
用 vpn ,说了几百年了,没人深刻记住这个的问题。这个是唯一解决的办法,没有之一,是没有之一。搞一个 vpn ,整个局域网都是你的,你不开心吗,搞啥端口呀,还要开放啥端口啊,改啥端口啊,乱七八糟没用。vpn 这个是常识,没有之一。一个 docker 就搭建完了,还要啥自行车啊,一分钟都不用的事情。
|
62
vmos 2021-12-11 20:09:48 +08:00
外网端口设置为高端口号,别用默认的,密码用强密码
|
63
jfdnet 2021-12-11 20:24:26 +08:00
不要用 win 做服务器。
|
64
mineralsalt 2021-12-11 21:00:14 +08:00 1
@chengfeng1992 自建 bitwarden 密码管理器
|
65
darknoll 2021-12-11 21:50:44 +08:00
@clickhouse 有教程吗?
|
66
PatrickLe 2021-12-11 23:45:28 +08:00
@xavierskip RDP 都多成熟的东西了,来一次这个,微软怕是得被骂死,想想这得波及多少设备,所以我也就不是特别担心了😂
|
67
yaott2020 2021-12-12 01:12:41 +08:00 via Android
可以无需组网,直接 frp stcp 穿透。懒一点的话就改掉 3389 ,密码设复杂一点。别什么服务都暴露公网,扫端口的一大堆
|
68
yaott2020 2021-12-12 01:15:37 +08:00 via Android
还有就是如果怕文件风险,多备份,备多份,不要鸡蛋放在同个篮子里,云端存一份,闲置硬盘存一份,以备不时之需
|
69
jinliming2 2021-12-12 01:31:30 +08:00
刚刚上事件查看器筛选了下 Audit Failure ,发现一大片,甚至就在我筛选的同时,还有新的日志出现……
粗略浏览了一下,尝试的用户名就这几个:ADMINISTRATOR 、ADMINISTRADOR 、USER 、USER1 、ADMIN 、ADMIN1 还好我没用这些用户名,密码也不算弱…… 感谢楼主给提了个醒,加护甲去了…… |
70
jinliming2 2021-12-12 01:33:49 +08:00
另:我用的不是默认的 3389 ,而是高位端口。
所以说,改端口啥的感觉基本没用,扫一遍端口,发几个探测包就知道对应服务了…… |
71
Mac 2021-12-12 02:21:25 +08:00
我现在已经习惯向日葵了,免费且够用。
|
72
Anonywp 2021-12-12 03:07:55 +08:00
还是 VPN 吧,只要放公网,啥手段都不好使,各种脚本现在已经很成熟了
|
73
t6attack 2021-12-12 06:38:11 +08:00 2
关于 win 服务器:
从 win 2003 到 2016 ,win server 用十几年了,从未被黑过。而且我觉得,只要对方掌握基本的网络安全常识,想黑掉对方就是很难的事。 ms06-040 、ms08-067 、ms17-010 这几个著名漏洞 相关蠕虫大爆发时,我就很奇怪,作为暴露在公网上的机器,配置防火墙把不需要的端口挡住,这不是最基本的操作吗?为什么系统自带了防火墙却不用? 关于改端口: 改端口说有用也有用,说没用也没用。如果被“人类”盯上的话是没用的,但在现实中,改完端口基本上就不会被攻击了。 网络上对 22 、3389 两个端口的攻击很多,这种攻击主要来自自动传播的“弱口令蠕虫”。编写一个弱口令蠕虫非常简单,大部分 v 友稍微研究一下就能写出来。 如果你来编写,你会针对每个 IP 浪费大量时间扫描 6 万多个端口吗?而且改过端口的,大概率也改了用户名,设置了复杂密码。浪费大量时间做无效的扫描,这个蠕虫根本就传播不开。 所以改完端口,也就过滤了全部“机器”攻击。 关于远程桌面: win 远程桌面非常方便好用,与 VNC/向日葵之类的远控工具不同,它是系统级的用户登录,相当于通过网络接入一套屏幕鼠标键盘。做好安全配置的情况下,建议继续使用远程桌面。 |
74
chengfeng1992 OP @HFX3389 #55 #56 frp 我用的 0.35.1 ,没有出现过类似问题,也就一直没升级
|
75
huiyanpohundh123 2021-12-12 08:06:17 +08:00 via Android
用密钥登录安全点
|
76
maskj4 2021-12-12 08:53:12 +08:00
我用 v2ray 起服务端链接内网,这个绝对安全
|
77
alexkkaa 2021-12-12 09:29:06 +08:00 via Android
网线拔了不就好了
|
78
supercaizehua 2021-12-12 09:38:23 +08:00
1.弱密码, 你也知道这个原因
2.我认为尽量避免使用密码,能使用秘钥就改成秘钥,如果非要用到密码,就用搞复杂一点,且定期更换 |
79
v2000000001ex 2021-12-12 10:02:24 +08:00 via Android
给 3389 套一层 tls ,tls 添加服务与客户端验证
|
80
512357301 2021-12-12 11:24:44 +08:00 via Android
题外话,uac 还是建议打开的,win 的 uac 虽然每次不用输入密码,但是把它当做拦截器还是挺不错的,有时候真心不知道自己电脑里的软件会不会作妖儿的
|
81
pC0oc4EbCSsJUy4W 2021-12-12 11:30:09 +08:00
用 vpn 连回去
|
82
DataSheep 2021-12-12 11:45:32 +08:00 via iPhone
改高位端口确实没用,我的之前就是高位端口+非默认用户名+强密码,虽然也没出问题,但是看日志每天都有一大串 administrator 的登录失败记录。
事实证明改端口无用,但是非默认用户名+强密码算是比较安全。不过最终还是上了 openvpn 。 |
83
simplove 2021-12-12 14:22:10 +08:00
改端口,或者关掉端口映射,我之前也遇到过,改了端口,然后也改了用户名,让他们破去
|
84
Marionic0723 2021-12-12 16:10:09 +08:00
@Livid 第二个是很常见的,第一个支持纯 TCP 模式吗
|
85
flynaj 2021-12-12 20:33:37 +08:00 via Android
改一下默认端口,我的也是直接暴露在公网上的,没有问题,1024 以下端口都不要用
|
86
opengps 2021-12-12 23:39:04 +08:00 via Android
3389 暴露公网必然被各种自动的扫描器爆破工具攻击,最少也得改成非默认端口,配合强密码
|
87
skaly 2021-12-13 00:38:28 +08:00
@chengfeng1992 试试这个,公网上直接不开端口就好了 https://www.natfrp.com/tunnel/
|
88
q409195961 2021-12-13 02:25:21 +08:00
|
89
cheng6563 2021-12-13 11:20:30 +08:00
套个 SSH 呗
|
90
james2013 2021-12-13 13:51:36 +08:00
改个端口号,密码大小写数字特殊字符都有,设置的复杂点
腾讯云服务器使用 windows 系统,更换远程连接端口号几年,也没有被破解成功 |
91
titanlpy 2021-12-13 13:59:11 +08:00
@q409195961 可以,刚刚一看全是密码爆破的记录,现在已经装上了
|
92
abc8678 2021-12-13 14:09:03 +08:00 via Android
不敢申请公网的原因就是怕遇到这类情况
|
93
abc8678 2021-12-13 14:11:04 +08:00 via Android
@sudoy 我用 zerotier ,速度全是靠运气。有时候 30MB/s ,有时候是 3MB/s ,有时候跟没开会员的百度云一样,也有时候是直接联系不上了而且屡连屡败那种
|
94
abc8678 2021-12-13 14:12:39 +08:00 via Android
@byte10 去别人家的时候,用 V 那类方式不太方便,需要在手机打开 V 某某热点的软件才能把 V 转发出去。如果面前的是台式机就没辙了
|
95
flasktest1 2021-12-13 14:31:22 +08:00
这个世界并不安全……
|
96
niubee1 2021-12-13 15:31:47 +08:00
我自己的 VPS 一直在被爆破,但是并没有什么卵用,关了密码登陆只允许用 RSA 密钥登陆,靠爆破要等到天荒地老了。
|
97
coolloves 2021-12-13 17:03:34 +08:00
我办公司电脑,一直是开着远程的,不过不用默认的,用户名猜到天荒地老吧?
|