老哥们,我被暴力破解了!我该怎么办?

2021-12-11 07:05:23 +08:00
 chengfeng1992

不是标题党。

发现问题

今天正在用着电脑,突然就锁屏了。

我立刻输入密码登录,屏幕分辨率有个调整的过程 (用过远程登录的老哥应该见过这种现象),猜测应该是被远程登录了。

设置情况

Windows LTSC 2019 (ver 1809)

刚重装系统不久,前几天装 LTSC 2021 蓝屏,就又装回了 2019 。

应该没用过什么垃圾软件,安装了火绒。

坐标北京。

机器一般 24 小时开机。

我没有把系统的用户名、密码告知他人,当然用户名很容易获取,密码设置的比较简单。

开启了远程桌面。路由器拨号,并设置了端口转发到机器的 3389 端口,以备不时之需。

事件管理器

事件管理器截图 https://imgur.com/a/O7bKE88

发现从 2021 年 12 月 9 日至今,一直在被暴力破解。 (之前的不清楚,前几天手贱清了系统日志)

暴力破解的 ip 来自世界各地,怀疑他们也是肉鸡。

部分 ip 如下:

庆幸与后怕

首先庆幸自己重装系统后没有开启 IIS 的 WebDAV ,重装前之前一直开着的,把机器当 NAS 用。

也庆幸自己半夜醒了,起来玩会电脑,早发现早治疗。

其实当个肉鸡,被挖矿、弹个广告啥的没什么,费点电的事,也很容易发现。当然事情肯定没那么简单。

但资料被窃、资料被加密就特别可怕。

可以说机器上有我所有的资料,包括但不限于十几年来的照片、各个网站的密码,甚至银行卡信息。

已经被成功远程登录,越想越后怕吧。

求助

老哥们,我该怎么办?!

毕竟工作什么的,偶尔还是需要远程下家里的电脑的。

躺床上用手机远程电脑 /WebDAV 看个视频也是挺方便的。

我先关机拔电源补会觉(毕竟还开了 WOL),希望老哥们能给出各种意见和建议。先提前感谢各位老哥!

当然有的老哥也需要看看自己的电脑和 NAS 有没有被黑。

17111 次点击
所在节点    信息安全
97 条回复
msmmbl
2021-12-11 10:18:25 +08:00
查下 windows 版的 fail2ban ,暴力破解的直接自动 IP 防火墙拉黑名单,还有就是转发到非标端口
dxgfalcongbit
2021-12-11 10:26:10 +08:00
我刚刚把端口转发关了,想了想就算 OpenVpn 失效我临时开端口转发也是可以的,端口转发没必要 24 小时开启。
Osk
2021-12-11 10:46:47 +08:00
1. 不要使用弱密码, 为防止自己偷懒, 请打开 secpol.msc, 启用账户策略:密码必须满足复杂度等策略, 并且一定账户登录失败锁定, 比如登陆失败 3 次后锁定 5 分钟.
2. 开启 Windows Update.
3. 不要关闭 uac.
4. 不要去下载来自互联网的激活工具, kmspico 最近才出事呢.
5. 很多人没提到的一点: 远程桌面应只允许网络级身份验证(NLA), 因为见过有人启用远程桌面时顺便取消了只允许 nla 那个复选框...
6. rdp 不要使用默认的 3389 端口.
7. 禁用 administrator 用户, 或者改名.

8. 还有一点, 也是很多人忽略的一点: 考虑到默认情况下 rdp 使用的是自签证书, 一般建议是要么改成对应的 ssl 证书, 要么请记录下你机器的 rdp 自签证书指纹, 客户端登陆时提示证书问题时不要无脑点击确认了. 查看证书, 管理员身份 powershell 运行:
```ps1
ls cert:\localmachine\my
```

做好上面这些再考虑 ssh/open vpn 隧道等方案吧, 毕竟谁也不能保证不部署的这些方案没有漏洞.

至于使用第三方远程软件, 谁也不能保证它们就没漏洞或者其他问题.
yidinghe
2021-12-11 11:12:41 +08:00
你当 nas 用还要啥远程桌面
PrinceofInj
2021-12-11 11:14:34 +08:00
@Osk 第一个失败后锁定就是坑自己,见过好多人有因为这个搞得管理员账号变成时时刻刻都在锁定状态了
oott123
2021-12-11 11:14:51 +08:00
提一个上面没说的,被人远程登录过的系统最好重装一下
Osk
2021-12-11 11:18:53 +08:00
@PrinceofInj 感谢提醒, 确实容易把自己锁定在外头, 但我觉得还是有必要.
一般要开这个的话, 建议是添加第二个管理员用户, 但禁止此用户远程登陆, 因为我用的大部分是虚拟机, 被锁定了还能通过控制台登录.
LPeJuN6lLsS9
2021-12-11 11:33:33 +08:00
反正也被破解了,不公布一下你的弱密码吗
Autonomous
2021-12-11 11:35:06 +08:00
3389 太危险了
Autonomous
2021-12-11 11:36:23 +08:00
还有 ssh ,telnet 等端口配置转发都是高危的
mscsky
2021-12-11 11:47:57 +08:00
运营商不给普通人公网是为了你好
mineralsalt
2021-12-11 11:56:13 +08:00
把密码管理器用上吧, 良心建议, 所以密码用密码器生成管理, 不要重复使用
chengfeng1992
2021-12-11 12:00:05 +08:00
@mscsky #31 坐标北京,ISP 联通,拨号就是公网 IP 。路由器拨号,不重启路由器一般不会改 IP ,约等于固定公网 IP 。虽说我做了 DDNS ,但是用不到。

当然这个被黑纯粹是我自己傻逼,和 ISP 没关系。
chengfeng1992
2021-12-11 12:02:14 +08:00
@hantsuki #28 数个英文句号.

我承认我是傻逼,感觉自己用没啥事偷懒了。
ronman
2021-12-11 12:04:35 +08:00
@wolong 你咋不说你 ip 是 192.168.1.x 呢
chengfeng1992
2021-12-11 12:05:42 +08:00
@gtchan13579 #7
@msmmbl #21
@Autonomous #29 路由器开的不是 3389 ,也证明开啥端口没啥区别,扫一遍端口只是几秒钟的事。
chengfeng1992
2021-12-11 12:11:23 +08:00
@mineralsalt #32 老哥有推荐吗,需要多平台,Windows 、macOS 、Linux 、iOS 、Android ,至少也得是 Chrome 扩展+iOS
chengfeng1992
2021-12-11 12:12:50 +08:00
@oott123 #26 收到,准备再试一下 LTSC 2021 ,希望别再蓝屏了。
chengfeng1992
2021-12-11 12:14:19 +08:00
@yidinghe #24 这不是 NAS 功能不够嘛。NAS 估计也是一样被黑,怕了怕了,改了改了。
sunnyadamm
2021-12-11 12:14:37 +08:00
首先换了远程端口,其次修改用户 administrator 为其他用户名,更改复杂密码,路由器加端口白名单基本问题就不大了,或者就按照楼上说的 zerotier 或其他 vpn 手段吧,不建议端口直接转发

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/821458

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX