V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

这是一个创建于 1062 天前的主题，其中的信息可能已经有所发展或是发生改变。

不是标题党。

发现问题

今天正在用着电脑，突然就锁屏了。

我立刻输入密码登录，屏幕分辨率有个调整的过程 （用过远程登录的老哥应该见过这种现象），猜测应该是被远程登录了。

设置情况

Windows LTSC 2019 (ver 1809)

刚重装系统不久，前几天装 LTSC 2021 蓝屏，就又装回了 2019 。

应该没用过什么垃圾软件，安装了火绒。

坐标北京。

机器一般 24 小时开机。

我没有把系统的用户名、密码告知他人，当然用户名很容易获取，密码设置的比较简单。

开启了远程桌面。路由器拨号，并设置了端口转发到机器的 3389 端口，以备不时之需。

事件管理器

事件管理器截图 https://imgur.com/a/O7bKE88

发现从 2021 年 12 月 9 日至今，一直在被暴力破解。 （之前的不清楚，前几天手贱清了系统日志）

暴力破解的 ip 来自世界各地，怀疑他们也是肉鸡。

部分 ip 如下：

36.137.123.95
45.9.20.94
45.9.20.111
45.146.164.224
59.26.157.146
89.248.165.23
89.248.165.99
91.241.19.103
106.38.105.12
183.99.50.91
202.106.10.66

庆幸与后怕

首先庆幸自己重装系统后没有开启 IIS 的 WebDAV ，重装前之前一直开着的，把机器当 NAS 用。

也庆幸自己半夜醒了，起来玩会电脑，早发现早治疗。

其实当个肉鸡，被挖矿、弹个广告啥的没什么，费点电的事，也很容易发现。当然事情肯定没那么简单。

但资料被窃、资料被加密就特别可怕。

可以说机器上有我所有的资料，包括但不限于十几年来的照片、各个网站的密码，甚至银行卡信息。

已经被成功远程登录，越想越后怕吧。

求助

老哥们，我该怎么办？！

毕竟工作什么的，偶尔还是需要远程下家里的电脑的。

躺床上用手机远程电脑 /WebDAV 看个视频也是挺方便的。

我先关机拔电源补会觉（毕竟还开了 WOL），希望老哥们能给出各种意见和建议。先提前感谢各位老哥！

当然有的老哥也需要看看自己的电脑和 NAS 有没有被黑。

远程

密码

webDAV

ltsc

97 条回复 • 2021-12-13 17:03:34 +08:00

czwstc

2021-12-11 07:16:53 +08:00 via iPhone

用户名很容易获取，密码设置的比较简单

这还能怪谁呢？总归要经历一下的。
一般开启 ms 账号登录之后会好些。

我见过最傻逼的。直接 Administer + ABC123

czwstc

2021-12-11 07:20:21 +08:00 via iPhone

我的建议就是。远程端口一定不能开给公网。

或者你开到公网的远程端口。既然有被破解的风险，就不要存放敏感的资料。

越是重要的资料，就要通过更安全的方式访问，否则任何一个薄弱的地方，直接导致你所有资料泄露。

（不过一般性这种远程登录大概率是肉鸡。很少真人登陆然后拿你所有资料的..）如果你发现得晚一点，你的帐号密码就被改了。

chengfeng1992

2021-12-11 07:26:00 +08:00

@czwstc #1 js 应该就可以获取到用户名吧，所以看个网页就把用户名丢了。端口就是扫一下的事。
我倒是没启用 Administrator ，自己设置的用户名，给了最高权限，还关了 UAC 。
没用 ms 账号，感觉 kms 激活也是盗版，自己耍了个偷偷摸摸的小聪明吧。
我的密码和 ABC123 比起来。。。只能说我和“最傻逼”也不遑多让吧。

czwstc

2021-12-11 07:28:33 +08:00 via iPhone

@chengfeng1992 总归要被黑几次才知道的

如果是我，我就会认为我所有的资料都已经泄露了。然后开始改密码补办卡。

Livid

MOD

2021-12-11 07:44:58 +08:00

用 Tailscale 或者 ZeroTier 建一个虚拟内网：

https://www.tailscale.com/

https://www.zerotier.com/

没有必要在公网上暴露任何东西。

msg7086

2021-12-11 07:48:45 +08:00

暴露 3389 还弱密码？这比用 TV 还不靠谱啊……

gtchan13579

2021-12-11 07:51:09 +08:00

路由器转发 3389 到非标端口会不会相对来说好一点

Greatshu

2021-12-11 07:54:22 +08:00

你需要且仅需要这个 https://www.dashlane.com/zh/features/password-generator
和什么 UAC 和 KMS 没有关系，上 VPN 真的没必要（企业用途除外），从 Windows2003 用到 2019 ，从类没有被暴力破解入侵过。记得定期安装更新。

最好再用一个密码管理器管理密码，推荐 keepass+webdav 同步。

wolong

2021-12-11 08:04:49 +08:00

我更慌，连自己有没有被暴力破解都不知道。

倒是我没有公网 IP ，也没有安装第三方远程软件，电脑也只是用的时候才开机。

ragnaroks

2021-12-11 08:48:50 +08:00

ZeroTier 在这种需求上是 TierZero 的

villivateur

2021-12-11 08:51:46 +08:00 via Android

用 wireguard 建 VPN

skinny

2021-12-11 09:04:46 +08:00

@gtchan13579 一般改端口是为了减少一点傻瓜式扫描，减少一点日志，基本安全工作没做好依然没用，毕竟全端口扫描也不费多少时间。

sudoy

2021-12-11 09:10:19 +08:00

建议用 zerotier 组网，很方便的

dxgfalcongbit

2021-12-11 09:31:32 +08:00 via Android

那就用 OpenVpn+远程桌面？我 3389 也映射着呢，作为 OpenVpn 失效时的备用方案。

刚才本来有点慌，但看到 9 楼想起来我为了碳达峰 NAS 平时根本不开机，要用的时候远程唤醒一下。另外我密码算比较正常的那种…很少拿 NAS 浏览网页是不是用户名暴露风险也低一点？

PatrickLe

2021-12-11 09:32:33 +08:00

我的就是默认端口 3389 ，开启了转发，用的 Administer 账户，但是我的密码是 1p 生成的 50 位超复杂随机密码，用了大半年了，每天 24 小时被扫，也没出问题
密码复杂程度差不多就是这样：fZY~df.m^K~^D8DssZqMply+KBi=z=JTDjhM4!0zu*Sa^^wm(E
等到爆破估计得天荒地老吧😂

aulay

2021-12-11 09:53:18 +08:00

我没有公网，都是用 frp 工具通过自己的服务器远程连接电脑🤣

markgor

2021-12-11 10:01:06 +08:00

其实我是这样认为的，通过论坛帖子拿到最终解决方案并且实施成功是不可能的，
这需要你各方面的知识和平时的规范。
NAS 为何卖那么贵(对比自行组装)，那是因为它的软件已经针对常规的安全隐患进行处理，你只需要定期给它更新即可。

经常有人会让你用一大堆开源方案，搭建个 NAS ；而实际情况却是你会遇到很多各种各样的奇葩问题，自己有能力解决的情况下还好，自己没能力解决的时候你会发现你又浪费了一天。

我就是之前用了开源方案后，被各种坑，随后才换了黑裙.....
不过相对而言，哪怕是开源的 NAS ，安全策略配置也比你直接 win 开外网好...

BiteDXH

2021-12-11 10:08:07 +08:00 via Android

@PatrickLe 爆破是不可能了，就怕哪天安全漏洞直接绕过

fantasylidong

2021-12-11 10:13:48 +08:00 via Android

端口转发别用 3389 ，最好的办法是弄个 vpn ，通过 vpn 回家

xdzhang

2021-12-11 10:17:50 +08:00

改端口肯定是第一步，弱口令肯定是不应该存在的。

msmmbl

2021-12-11 10:18:25 +08:00

查下 windows 版的 fail2ban ，暴力破解的直接自动 IP 防火墙拉黑名单，还有就是转发到非标端口

dxgfalcongbit

2021-12-11 10:26:10 +08:00 via Android

我刚刚把端口转发关了，想了想就算 OpenVpn 失效我临时开端口转发也是可以的，端口转发没必要 24 小时开启。

Osk

2021-12-11 10:46:47 +08:00

1. 不要使用弱密码, 为防止自己偷懒, 请打开 secpol.msc, 启用账户策略:密码必须满足复杂度等策略, 并且一定账户登录失败锁定, 比如登陆失败 3 次后锁定 5 分钟.
2. 开启 Windows Update.
3. 不要关闭 uac.
4. 不要去下载来自互联网的激活工具, kmspico 最近才出事呢.
5. 很多人没提到的一点: 远程桌面应只允许网络级身份验证(NLA), 因为见过有人启用远程桌面时顺便取消了只允许 nla 那个复选框...
6. rdp 不要使用默认的 3389 端口.
7. 禁用 administrator 用户, 或者改名.

8. 还有一点, 也是很多人忽略的一点: 考虑到默认情况下 rdp 使用的是自签证书, 一般建议是要么改成对应的 ssl 证书, 要么请记录下你机器的 rdp 自签证书指纹, 客户端登陆时提示证书问题时不要无脑点击确认了. 查看证书, 管理员身份 powershell 运行:
```ps1
ls cert:\localmachine\my
```

做好上面这些再考虑 ssh/open vpn 隧道等方案吧, 毕竟谁也不能保证不部署的这些方案没有漏洞.

至于使用第三方远程软件, 谁也不能保证它们就没漏洞或者其他问题.

yidinghe

2021-12-11 11:12:41 +08:00 via Android

你当 nas 用还要啥远程桌面

PrinceofInj

2021-12-11 11:14:34 +08:00 via Android

@Osk 第一个失败后锁定就是坑自己，见过好多人有因为这个搞得管理员账号变成时时刻刻都在锁定状态了

oott123

2021-12-11 11:14:51 +08:00 via Android

提一个上面没说的，被人远程登录过的系统最好重装一下

Osk

2021-12-11 11:18:53 +08:00

@PrinceofInj 感谢提醒, 确实容易把自己锁定在外头, 但我觉得还是有必要.
一般要开这个的话, 建议是添加第二个管理员用户, 但禁止此用户远程登陆, 因为我用的大部分是虚拟机, 被锁定了还能通过控制台登录.

LPeJuN6lLsS9

2021-12-11 11:33:33 +08:00

反正也被破解了，不公布一下你的弱密码吗

Autonomous

2021-12-11 11:35:06 +08:00

3389 太危险了

Autonomous

2021-12-11 11:36:23 +08:00

还有 ssh ，telnet 等端口配置转发都是高危的

mscsky

2021-12-11 11:47:57 +08:00 via Android

运营商不给普通人公网是为了你好

mineralsalt

2021-12-11 11:56:13 +08:00

把密码管理器用上吧, 良心建议, 所以密码用密码器生成管理, 不要重复使用

chengfeng1992

2021-12-11 12:00:05 +08:00

@mscsky #31 坐标北京，ISP 联通，拨号就是公网 IP 。路由器拨号，不重启路由器一般不会改 IP ，约等于固定公网 IP 。虽说我做了 DDNS ，但是用不到。

当然这个被黑纯粹是我自己傻逼，和 ISP 没关系。

chengfeng1992

2021-12-11 12:02:14 +08:00

@hantsuki #28 数个英文句号.

我承认我是傻逼，感觉自己用没啥事偷懒了。

ronman

2021-12-11 12:04:35 +08:00 via Android

@wolong 你咋不说你 ip 是 192.168.1.x 呢

chengfeng1992

2021-12-11 12:05:42 +08:00

@gtchan13579 #7
@msmmbl #21
@Autonomous #29 路由器开的不是 3389 ，也证明开啥端口没啥区别，扫一遍端口只是几秒钟的事。

chengfeng1992

2021-12-11 12:11:23 +08:00

@mineralsalt #32 老哥有推荐吗，需要多平台，Windows 、macOS 、Linux 、iOS 、Android ，至少也得是 Chrome 扩展+iOS

chengfeng1992

2021-12-11 12:12:50 +08:00

@oott123 #26 收到，准备再试一下 LTSC 2021 ，希望别再蓝屏了。

chengfeng1992

2021-12-11 12:14:19 +08:00

@yidinghe #24 这不是 NAS 功能不够嘛。NAS 估计也是一样被黑，怕了怕了，改了改了。

sunnyadamm

2021-12-11 12:14:37 +08:00

首先换了远程端口，其次修改用户 administrator 为其他用户名，更改复杂密码，路由器加端口白名单基本问题就不大了，或者就按照楼上说的 zerotier 或其他 vpn 手段吧，不建议端口直接转发

chengfeng1992

2021-12-11 12:16:49 +08:00

@aulay #16 其实我也做了 frp 的 STCP ，就是感觉手机远程起来不方便，才又开了直接远程。

chengfeng1992

2021-12-11 12:20:44 +08:00

@Livid #5
@ragnaroks #10
@villivateur #11
@sudoy #13
@dxgfalcongbit #14
@fantasylidong #19
@dxgfalcongbit #22 收到，各位大佬，我学习下这些组网方案。

chengfeng1992

2021-12-11 12:21:57 +08:00

@PatrickLe #15 大佬，您这密码怎么本地登录，只是远程登录吗

chengfeng1992

2021-12-11 12:24:43 +08:00

@czwstc #4 这一次我就改了，怕死了。亡羊补牢 ing...

chengfeng1992

2021-12-11 12:26:33 +08:00

@markgor #17 大佬几句话让我受益匪浅。感谢。

gefranks

2021-12-11 12:28:39 +08:00

说到底还是因为弱密码.

chengfeng1992

2021-12-11 12:36:08 +08:00

@gefranks #46 弱密码只是最短那块木板而已。看了楼上各位大佬的回复，发现问题还是挺多的。

dethan

2021-12-11 12:36:28 +08:00 via Android

来电启动+智能插座

chengfeng1992

2021-12-11 12:47:14 +08:00

@dethan wol 我确实是这么做的。也在考虑组网方案了，wol 解决不了安全的问题。

dethan

2021-12-11 12:48:00 +08:00 via Android

@chengfeng1992 用的时候才开机，没啥问题啊还省电

clickhouse

2021-12-11 12:48:21 +08:00

组网，上面各种软件也都说了，很多，我用的是 wireguard 。

HFX3389

2021-12-11 12:50:28 +08:00

@chengfeng1992 #41 我也是在想着 iPad 怎么 stcp....

geniussoft

2021-12-11 12:52:46 +08:00 via iPhone

@mscsky 公网 IP 也得过路由器，不做端口映射和 UPnP ，根本访问不了设备。
主要是运营商不想让你们做 mCDN ，恨不得把你们 NAT 全都互相彻底分开，直联不得。

0017

2021-12-11 12:54:22 +08:00

改端口立竿见影

说改端口没用的怀疑都是卧底,根本没人闲到搞全端口扫描......

HFX3389

2021-12-11 13:01:19 +08:00

@chengfeng1992 #41 而且很奇怪的是，我电脑的 stcp 连 RDP ，每个几秒就会断开连接....

HFX3389

2021-12-11 13:29:43 +08:00

结果好像我把版本更新成 0.38.0 就不会了.........好久没更新了...

mytsing520

2021-12-11 13:54:21 +08:00

向日葵

dicc

2021-12-11 14:00:04 +08:00

windows 本地策略，账号设置登录密码错误次数达到多少就锁定几分钟，然后密码强度高点，基本就不可破了

yangzzzzzz

2021-12-11 14:44:58 +08:00

先改个强密码和端口吧。

xavierskip

2021-12-11 17:10:17 +08:00

@PatrickLe #15 你不怕 0day 吗？换个端口更放心点。

byte10

2021-12-11 19:12:05 +08:00

用 vpn ，说了几百年了，没人深刻记住这个的问题。这个是唯一解决的办法，没有之一，是没有之一。搞一个 vpn ，整个局域网都是你的，你不开心吗，搞啥端口呀，还要开放啥端口啊，改啥端口啊，乱七八糟没用。vpn 这个是常识，没有之一。一个 docker 就搭建完了，还要啥自行车啊，一分钟都不用的事情。

vmos

2021-12-11 20:09:48 +08:00

外网端口设置为高端口号，别用默认的，密码用强密码

jfdnet

2021-12-11 20:24:26 +08:00

不要用 win 做服务器。

mineralsalt

2021-12-11 21:00:14 +08:00

@chengfeng1992 自建 bitwarden 密码管理器

darknoll

2021-12-11 21:50:44 +08:00

@clickhouse 有教程吗？

PatrickLe

2021-12-11 23:45:28 +08:00

@xavierskip RDP 都多成熟的东西了，来一次这个，微软怕是得被骂死，想想这得波及多少设备，所以我也就不是特别担心了😂

yaott2020

2021-12-12 01:12:41 +08:00 via Android

可以无需组网，直接 frp stcp 穿透。懒一点的话就改掉 3389 ，密码设复杂一点。别什么服务都暴露公网，扫端口的一大堆

yaott2020

2021-12-12 01:15:37 +08:00 via Android

还有就是如果怕文件风险，多备份，备多份，不要鸡蛋放在同个篮子里，云端存一份，闲置硬盘存一份，以备不时之需

jinliming2

2021-12-12 01:31:30 +08:00

刚刚上事件查看器筛选了下 Audit Failure ，发现一大片，甚至就在我筛选的同时，还有新的日志出现……
粗略浏览了一下，尝试的用户名就这几个：ADMINISTRATOR 、ADMINISTRADOR 、USER 、USER1 、ADMIN 、ADMIN1

还好我没用这些用户名，密码也不算弱……

感谢楼主给提了个醒，加护甲去了……

jinliming2

2021-12-12 01:33:49 +08:00

另：我用的不是默认的 3389 ，而是高位端口。
所以说，改端口啥的感觉基本没用，扫一遍端口，发几个探测包就知道对应服务了……

Mac

2021-12-12 02:21:25 +08:00

我现在已经习惯向日葵了，免费且够用。

Anonywp

2021-12-12 03:07:55 +08:00

还是 VPN 吧，只要放公网，啥手段都不好使，各种脚本现在已经很成熟了

t6attack

2021-12-12 06:38:11 +08:00

关于 win 服务器：
从 win 2003 到 2016 ，win server 用十几年了，从未被黑过。而且我觉得，只要对方掌握基本的网络安全常识，想黑掉对方就是很难的事。
ms06-040 、ms08-067 、ms17-010 这几个著名漏洞相关蠕虫大爆发时，我就很奇怪，作为暴露在公网上的机器，配置防火墙把不需要的端口挡住，这不是最基本的操作吗？为什么系统自带了防火墙却不用？

关于改端口：
改端口说有用也有用，说没用也没用。如果被“人类”盯上的话是没用的，但在现实中，改完端口基本上就不会被攻击了。
网络上对 22 、3389 两个端口的攻击很多，这种攻击主要来自自动传播的“弱口令蠕虫”。编写一个弱口令蠕虫非常简单，大部分 v 友稍微研究一下就能写出来。
如果你来编写，你会针对每个 IP 浪费大量时间扫描 6 万多个端口吗？而且改过端口的，大概率也改了用户名，设置了复杂密码。浪费大量时间做无效的扫描，这个蠕虫根本就传播不开。
所以改完端口，也就过滤了全部“机器”攻击。

关于远程桌面：
win 远程桌面非常方便好用，与 VNC/向日葵之类的远控工具不同，它是系统级的用户登录，相当于通过网络接入一套屏幕鼠标键盘。做好安全配置的情况下，建议继续使用远程桌面。

chengfeng1992

2021-12-12 06:54:09 +08:00

@HFX3389 #55 #56 frp 我用的 0.35.1 ，没有出现过类似问题，也就一直没升级