换了 win11 才发现自己电脑一直在被爆破

186 天前
wangweitung  wangweitung

RDP 时一直提示“为安全考虑,已锁定该用户账户,原因是登录尝试或密码更改尝试过多”。

我心想我自己密码没输错啊,咋一直这提示。

后来搜索了下,可以查看攻击者 ip:

https://e673.com/windows-remote-desktop-rdp-account-locked/

如果你想查看攻击者的 IP 地址,打开 事件查看器——windows 日志——安全,在审核失败的日志上双击,找到网络源地址就是攻击者的 IP ,当然,这个 IP 极大概率是肉机或者代理的 IP 。

看了下,大多数 ip 如下:

79.124.56.186
141.255.167.50 
46.19.142.242

而且尝试爆破的频率很高,基本上 20-30s 左右就爆破一次。

要是 win11 有像群晖一样,超过几次失败,直接 block ip 的功能就好了。

5935 次点击
所在节点   宽带症候群  宽带症候群
37 条回复
learnshare
learnshare
186 天前
火绒
s4nd
s4nd
186 天前
win10 有没有软件能发现电脑有没有在被爆破
leewi9coder
leewi9coder
186 天前
为什么我的日志里源网络地址: 127.0.0.1
dizhang
dizhang
186 天前
妈呀,查了一下日志,几分钟一次 winlogon ,奇怪的是我把电脑的 3389 映射到了路由器上另外一个端口,比如说 386 这个端口,我自己连回家的时候就是用的 ip 加 386 这个端口的方式,那么这些攻击的机器怎么会知道这个端口的然后不断尝试的?
osilinka
osilinka
186 天前
How to Whitelist an IP Address for RDP
Daming
Daming
186 天前
xmumiffy
xmumiffy
186 天前
@dizhang 所有端口都会被扫,换端口并没啥意义
feikaras
feikaras
186 天前
不要把这个服务开在互联网上。
dilidilid
dilidilid
186 天前
干嘛要在公网开 3389 端口?
RealMan
RealMan
186 天前
@s4nd 火绒可以检测然后告警
idragonet
idragonet
186 天前
路由器映射外网的端口都开启 IP 白名单。
ho121
ho121
186 天前
@leewi9coder 用了穿透软件,访问本机服务基本都是 127.0.0.1
dwu8555
dwu8555
186 天前
套一个 Cloudflare
Kazetachinu
Kazetachinu
185 天前
啊,我没有公网 ip ,用了个内网穿透弄 emby 。应该还行
blankmiss
blankmiss
185 天前
@dizhang 为什么不能爆破全端口
busier
busier
185 天前
多大点事

内置管理员账号改名或禁用。对方又要猜用户名,又要猜密码。哪那么容易
mcluyu
mcluyu
185 天前
不使用默认用户名和弱密码几乎没可能爆成功, 但是心里膈应, 所以都是走 VPN 的,之前用 Wireguard , 现在 tailscale
peasant
185 天前
windows11 用的不应该是 Microsoft 账户吗,别人不知道你的账户就算爆破也不会影响你正常使用,OP 自己开了 Administrator 账户来用?

建议把 RDP 端口改成没有规律的端口,或者防火墙设置白名单,使用 Microsoft 账户,并且勾选仅允许运行使用网络级别的身份验证的远程桌面的计算机连接。
Stoney
185 天前
公网开 rdp 应该肯定被扫吧,改端口也没用,把不需要的 IP 都禁止连 rdp 端口吧
leewi9coder
185 天前
@ho121 ok ,我是用 frp 的,通过一台阿里云机子中转,不过阿里云上我开了 ip 白名单,怎么还会有别人能访问到呢,奇怪。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1065351

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX