请教一个电脑被爆破的问题

最近发现自己的电脑一直在被远程登陆爆破，只不过一直没猜对账户名。但是有一个问题不解，就是事件查看器里显示每次尝试登陆的源网络地址都是 127.0.0.1 。看微软文档里解释的是，“源网络地址”指“执行登录尝试的计算机 IP 地址”，127.0.0.1 指本地主机。这难道是说我的电脑在不停的自己尝试登陆自己吗？

huntagain2008

2022-06-08 10:33:43 +08:00

小白想到供应商远程到故障服务器，我这边看到的日志是 127.0.0.1 通过 ssh 远程调试

v2ls

2022-06-08 10:39:04 +08:00

@huntagain2008 没太看懂老哥你说的。我这个是个人用的电脑。昨晚我把远程桌面关闭后，就没有这种尝试登陆了，今天早上打开远程桌面后就又开始了。很无语。

2022-06-08 10:45:44 +08:00

比如 frp 穿透的 local ip port 127.0.0.1:3389 就会这样吧

rpish

2022-06-08 10:45:57 +08:00

已经被 getshell 了对方想爆破 rdp 远程操控
全盘扫描杀个毒先然后有没打的补丁赶紧打上

v2ls

2022-06-08 10:47:42 +08:00

@totoro625 是有装 frpc 的，您的意思攻击者企图用我的 frpc 登陆吗？

v2ls

2022-06-08 10:48:27 +08:00

@ik 意思是攻击者尝试用我的 frp 登陆，所以才显示的是 127.0.0.1 吗？

Juszoe

2022-06-08 10:57:43 +08:00

是 frp 就正常了，你是不是把 3389 映射到公网了

v2ls

2022-06-08 10:59:10 +08:00

@Juszoe 没有用默认的 3389 ，换了一个高端口。意思是说 frp 不太安全吗？

imes

2022-06-08 11:03:32 +08:00

@v2ls 11# frp 要使用 stcp ，双端加密，不然肯定会被人批量扫描爆破。

sola97

2022-06-08 11:04:25 +08:00

对方直接通过高端口爆破，日志里也是 127.0.0.1 嘛

Juszoe

2022-06-08 11:06:14 +08:00

@v2ls #11 不是 frp 不安全，是你把远程桌面映射到公网这个“行为”是不安全的，此类行为建议开启 frp 的 STPC 功能，避免让端口直接暴露在公网上导致任何人都能访问到。

huntagain2008

2022-06-08 11:18:29 +08:00

@v2ls #4 只是想说供应商远程调试服务器留下的日志的源网络地址也都是 127.0.0.1 ，当然不是说供应商在本地登录进行调试，他是远程连进来的。这个并不奇怪，也和#1 的内鬼没有关系。

v2ls

2022-06-08 11:18:49 +08:00

@Juszoe 明白了，谢谢老哥。我刚才把电脑的 frp 关闭后，确实没有尝试登陆的行为了。我现在去开启一下 STCP 。

mcluyu

2022-06-08 11:57:23 +08:00

赶紧去看了下我的，已经被人爆了很久了😭😭😭，能看到几个 IP 还，有立陶宛的。。我有公网 IP ，端口转发出去的也是，太危险了。

2022-06-08 12:02:47 +08:00

@v2ls #8 差不多是这意思吧，你可以直接把 frpc 关掉，再看日志就知道了

v2ls

2022-06-08 12:02:52 +08:00

@mcluyu 我部署 frps 的服务器是 windows server 系统的，刚才上去看了一下，也是在被人不停的尝试登陆，而且不显示源网络地址，都不知道是哪的攻击者。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/858093

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.