发生了一些诡异的事情,怀疑电脑/网络被黑,大伙帮看看

80 天前
 liyafe1997

先介绍下背景,坐标欧洲,家宽是墙上 RJ45 网口直接 DHCP 获取公网静态 IPv4 ,无 IPv6 ,这个 IPv4 似乎是跟着 MAC 地址的,只要 MAC 地址不变,这个公网 IPv4 就不变。平时插着一个小米路由器来用。

然后我有台旧的 ThinkPad ,运行 Win10 ,Windows Update 一直开着的,平时一直都会更新到最新版。很多年了一直 24 小时运行,当个服务器用,平时跑些东西,没跑 HTTP ,也有在路由器上映射一些端口方便公网直接访问,主要是 3389 和 SSH ( Windows 自带的 OpenSSH ),当然在公网上的端口不是 3389 和 22 ,不过现在这似乎并不重要,人家都是直接扫服务的。还有一些其它端口是做 Tailscale 的跳板,也就是把我的 Tailscale 其它一些设备的一些端口通过这台 ThinkPad 跳到公网上,方便在外面不需要通过 Tailscale 来直接访问我的 Tailscale 网络中的一些设备。直接用的是 Windows 的 portproxy 。

很多年了一直很稳定,这 ThinkPad 从来没死过机,没出过问题,平时基本就在旁边吃灰。

然后今年 6 月 24 日我回国休假,记得 6 月 25 日我还在国内试着连了下这 ThinkPad 的 3389 ,看看速度啊啥的,也没用来干啥事。然后 26 号以后就连不上了,Tailscale 也显示这台机子离线。当时我也没管,因为想着可能死机了或者网崩了啥的,无所谓了到时回去了再看看怎么回事。

然后今天刚回到欧洲,诡异的事情来了!!!!!

第一件事是先发现 WIFI 上不了网,手机能连上小米路由器 WIFI ,但是无网络,登后台页面说 DHCP 无响应。以为路由器出了什么幺蛾子,第一时间重启路由器嘛,还是不行。

然后看了下 ThinkPad ,发现 ThinkPad 死机了,按大小写灯不亮,屏幕也不亮,先没管,想着先去弄好网络先,看看网络怎么回事

插拔了几次网线/重启路由都提示 DHCP 无响应,于是试试直接把网线插电脑上,但是网线插我电脑上又能获取到 IP 能正常上网,第一反应是路由器 WAN 口的 MAC 地址被运营商封了?然后路由器 WAN 口改个 MAC 地址,马上能获取 DHCP 能上网了,但是没过几秒又断网了,然后 DHCP 又获取不到地址了,像是被秒封了(划重点!)。

这时无意间看到 ThinkPad 连着的交换机灯在狂闪( ThinkPad 通过一个千兆有线交换机连到小米路由 LAN 口,此时交换机上没有除了 ThinkPad 和小米路由之外的设备),这时还是死机状态,连的显示器不亮,按大小写键盘灯不亮,风扇也不转说明 CPU 不热),于是我长按电源键强行关机重启了下 ThinkPad 。一重启网马上就正常了,小米路由 DHCP 马上有响应,马上能上网,甚至路由 MAC 地址都没改,然后改回路由默认的 WAN 口 MAC 地址也能正常上网正常获取 IP 了,一切都恢复正常了。

妈也,细思极恐,不知道是不是我的 ThinkPad 被黑了有人做肉鸡一直 DDoS 啥的然后导致一插网线就被运营商封?现在我也还原不了现场了,ThinkPad 重启后一切都正常了,不知道当时交换机灯狂闪在那闪什么,早知应该当时直接把路由器 WAN 口插电脑上然后开 Wireshark 抓个包。

看了下 ThinkPad 的 Windows 日志,系统那一栏没有什么异常,到 6 月 26 号晚上 19 点之后就没有了,像是突然死机的那种。 然后安全那一栏能看到很多登录失败的,像是 3389/SSH 被爆破

以前也遇到过也没什么,我也没弱密码,单纯爆破应该发生不了这些事情

对了,这台 ThinkPad 上还装有火绒,基本上只打开了文件监控和下载防护,火绒没杀到什么毒,今天也 Windows Update 了一波,那个恶意软件删除工具也没杀到东西。简单看了下进程啥的都没有异常。

这一切事件太诡异了,首先之前这么久从来没出过问题,稳定得一逼,偏偏在我回国休假第二天出的问题(难道我被搞了?),然后死机就死机吧,这死机的时候交换机灯还狂闪还搞得上不了网,虽然我不知道是不是真的是 ThinkPad 发出什么有问题的包被运营商封,但是一强行关机重启马上就正常。而且当时确实路由器改 WAN 口 MAC 地址之后得了这么几秒,然后又一模一样的现象了,直到重启 ThinkPad ,真的太诡异了。

害,有没有哥们支下招,有什么要检查的,最好能查查到底发生了什么

1329 次点击
所在节点    路由器
3 条回复
liyafe1997
79 天前


还有个奇怪的点,安全日志里面第一条就是被爆登录失败的,6 月 26 号之前的日志没了,我记得我也没清啊,而且清安全日志似乎都会有一条清日志的日志吧
Jackm
70 天前
运营商封宽带没有通知吗?
目测是你 6 月 25 日的数据被审计了。估计你也没搞 USBkey 这种硬件证书,其实部署起来并不麻烦,就是每次访问必须使用有点繁琐,usbkey 会混肴你的每一次访问,即使是用 22 端口也无碍,像那种 10 次错误的封 ip 好了,你电脑上没有什么资料,自然是宽带的价值更高了。
这也是我不喜欢 esim 的原因之一。重新安装 ThinkPad 的系统可能是个更好的选择。
liyafe1997
70 天前
@Jackm 没有通知,根据当时 Thinkpad 关机的恢复情况看,可能是防火墙的简单规则/自动行为啥的?反正没有通知。当然被封也是我猜的,有可能只是个巧合。。。或者是我这边的问题。

这个跟 USBKey 也没关系吧,我的账户也没被爆破,我也没有弱密码,不觉得它能爆破得了我的密码。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1068302

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX