老哥们,我被暴力破解了!我该怎么办?

2021-12-11 07:05:23 +08:00
 chengfeng1992

不是标题党。

发现问题

今天正在用着电脑,突然就锁屏了。

我立刻输入密码登录,屏幕分辨率有个调整的过程 (用过远程登录的老哥应该见过这种现象),猜测应该是被远程登录了。

设置情况

Windows LTSC 2019 (ver 1809)

刚重装系统不久,前几天装 LTSC 2021 蓝屏,就又装回了 2019 。

应该没用过什么垃圾软件,安装了火绒。

坐标北京。

机器一般 24 小时开机。

我没有把系统的用户名、密码告知他人,当然用户名很容易获取,密码设置的比较简单。

开启了远程桌面。路由器拨号,并设置了端口转发到机器的 3389 端口,以备不时之需。

事件管理器

事件管理器截图 https://imgur.com/a/O7bKE88

发现从 2021 年 12 月 9 日至今,一直在被暴力破解。 (之前的不清楚,前几天手贱清了系统日志)

暴力破解的 ip 来自世界各地,怀疑他们也是肉鸡。

部分 ip 如下:

庆幸与后怕

首先庆幸自己重装系统后没有开启 IIS 的 WebDAV ,重装前之前一直开着的,把机器当 NAS 用。

也庆幸自己半夜醒了,起来玩会电脑,早发现早治疗。

其实当个肉鸡,被挖矿、弹个广告啥的没什么,费点电的事,也很容易发现。当然事情肯定没那么简单。

但资料被窃、资料被加密就特别可怕。

可以说机器上有我所有的资料,包括但不限于十几年来的照片、各个网站的密码,甚至银行卡信息。

已经被成功远程登录,越想越后怕吧。

求助

老哥们,我该怎么办?!

毕竟工作什么的,偶尔还是需要远程下家里的电脑的。

躺床上用手机远程电脑 /WebDAV 看个视频也是挺方便的。

我先关机拔电源补会觉(毕竟还开了 WOL),希望老哥们能给出各种意见和建议。先提前感谢各位老哥!

当然有的老哥也需要看看自己的电脑和 NAS 有没有被黑。

17186 次点击
所在节点    信息安全
97 条回复
czwstc
2021-12-11 07:16:53 +08:00
用户名很容易获取,密码设置的比较简单

这还能怪谁呢?总归要经历一下的。
一般开启 ms 账号登录之后会好些。

我见过最傻逼的。 直接 Administer + ABC123
czwstc
2021-12-11 07:20:21 +08:00
我的建议就是。 远程端口一定不能开给公网。

或者你开到公网的远程端口。 既然有被破解的风险,就不要存放敏感的资料。

越是重要的资料,就要通过更安全的方式访问,否则任何一个薄弱的地方,直接导致你所有资料泄露。


(不过一般性这种远程登录大概率是肉鸡。 很少真人登陆然后拿你所有资料的..)如果你发现得晚一点,你的帐号密码就被改了。
chengfeng1992
2021-12-11 07:26:00 +08:00
@czwstc #1 js 应该就可以获取到用户名吧,所以看个网页就把用户名丢了。端口就是扫一下的事。
我倒是没启用 Administrator ,自己设置的用户名,给了最高权限,还关了 UAC 。
没用 ms 账号,感觉 kms 激活也是盗版,自己耍了个偷偷摸摸的小聪明吧。
我的密码和 ABC123 比起来。。。只能说我和“最傻逼”也不遑多让吧。
czwstc
2021-12-11 07:28:33 +08:00
@chengfeng1992 总归要被黑几次才知道的

如果是我,我就会认为我所有的资料都已经泄露了。然后开始改密码补办卡。
Livid
2021-12-11 07:44:58 +08:00
用 Tailscale 或者 ZeroTier 建一个虚拟内网:

https://www.tailscale.com/

https://www.zerotier.com/

没有必要在公网上暴露任何东西。
msg7086
2021-12-11 07:48:45 +08:00
暴露 3389 还弱密码?这比用 TV 还不靠谱啊……
gtchan13579
2021-12-11 07:51:09 +08:00
路由器转发 3389 到非标端口 会不会相对来说好一点
Greatshu
2021-12-11 07:54:22 +08:00
你需要且仅需要这个 https://www.dashlane.com/zh/features/password-generator
和什么 UAC 和 KMS 没有关系,上 VPN 真的没必要(企业用途除外),从 Windows2003 用到 2019 ,从类没有被暴力破解入侵过。记得定期安装更新。

最好再用一个密码管理器管理密码,推荐 keepass+webdav 同步。
wolong
2021-12-11 08:04:49 +08:00
我更慌,连自己有没有被暴力破解都不知道。

倒是我没有公网 IP ,也没有安装第三方远程软件,电脑也只是用的时候才开机。
ragnaroks
2021-12-11 08:48:50 +08:00
ZeroTier 在这种需求上是 TierZero 的
villivateur
2021-12-11 08:51:46 +08:00
用 wireguard 建 VPN
skinny
2021-12-11 09:04:46 +08:00
@gtchan13579 一般改端口是为了减少一点傻瓜式扫描,减少一点日志,基本安全工作没做好依然没用,毕竟全端口扫描也不费多少时间。
sudoy
2021-12-11 09:10:19 +08:00
建议用 zerotier 组网,很方便的
dxgfalcongbit
2021-12-11 09:31:32 +08:00
那就用 OpenVpn+远程桌面?我 3389 也映射着呢,作为 OpenVpn 失效时的备用方案。

刚才本来有点慌,但看到 9 楼想起来我为了碳达峰 NAS 平时根本不开机,要用的时候远程唤醒一下。另外我密码算比较正常的那种…很少拿 NAS 浏览网页是不是用户名暴露风险也低一点?
PatrickLe
2021-12-11 09:32:33 +08:00
我的就是默认端口 3389 ,开启了转发,用的 Administer 账户,但是我的密码是 1p 生成的 50 位超复杂随机密码,用了大半年了,每天 24 小时被扫,也没出问题
密码复杂程度差不多就是这样:fZY~df.m^K~^D8DssZqMply+KBi=z=JTDjhM4!0zu*Sa^^wm(E
等到爆破估计得天荒地老吧😂
aulay
2021-12-11 09:53:18 +08:00
我没有公网,都是用 frp 工具通过自己的服务器远程连接电脑🤣
markgor
2021-12-11 10:01:06 +08:00
其实我是这样认为的,通过论坛帖子拿到最终解决方案并且实施成功是不可能的,
这需要你各方面的知识和平时的规范。
NAS 为何卖那么贵(对比自行组装),那是因为它的软件已经针对常规的安全隐患进行处理,你只需要定期给它更新即可。

经常有人会让你用一大堆开源方案,搭建个 NAS ;而实际情况却是你会遇到很多各种各样的奇葩问题,自己有能力解决的情况下还好,自己没能力解决的时候你会发现你又浪费了一天。

我就是之前用了开源方案后,被各种坑,随后才换了黑裙.....
不过相对而言,哪怕是开源的 NAS ,安全策略配置也比你直接 win 开外网好...
BiteDXH
2021-12-11 10:08:07 +08:00
@PatrickLe 爆破是不可能了,就怕哪天安全漏洞直接绕过
fantasylidong
2021-12-11 10:13:48 +08:00
端口转发别用 3389 ,最好的办法是弄个 vpn ,通过 vpn 回家
xdzhang
2021-12-11 10:17:50 +08:00
改端口肯定是第一步,弱口令肯定是不应该存在的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/821458

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX