window 云服务器如何防止被黑被勒索

我写 c#的，用的 window 服务器，部署到 iis 上，数据库用的 sqlserver 。现在服务器的远程端口 3389 和数据库端口 1433 我都改了，没有用默认的了。然后打开了 window 的安全中心。没有做其他的设置了。

最近在事件查看器里面查看，总有不同的 ip 尝试登录 sqlserver （事件 id：18456 ）和远程连接(事件 id：4625)，我不知道怎么去防范和禁止这些行为，云服务器的防火墙我只设置了几个特定端口。

现在每天都要进服务器看下，生怕被黑了被勒索。年初的时候服务器开的默认端口就被黑过。。。

opengps

2023-05-07 10:34:10 +08:00

端口号，你虽然改了却依然是对外暴露的，3389 可能不得已，但数据库真的需要对外暴露吗？没必要就关掉，实在有必要就配合 ip 白名单，甚至 3389 也可以不开放时候通过安全组关闭

tohert

2023-05-07 10:40:41 +08:00

@opengps 我现在对外的默认端口就是 80 和 443 了，3389 和数据库的 443 默认端口我都改掉了。数据库我得本地能连，方便找问题。所以现在看到事件查看器里面每秒都有那种尝试登录的记录就慌

tohert

2023-05-07 10:42:19 +08:00

@xshell 我现在只是没用默认端口了，年初的时候用的默认端口就被勒索了。其他的设置百度找了一圈，按照教程弄了下，在事件查看器里面还是有那个记录，基本每秒钟都有

whileFalse

2023-05-07 10:57:10 +08:00

突然想到可不可以安装一个 Tailscale 等虚拟组网软件，然后你在云服务器上启动的数据库仅监听 Tailscale 网络的 IP ？这样你本地也连接到 Tailscale ，就可以从本地无感访问云服务器的数据库了，但公网无法连接到数据库。不过 3389 的话就要用 windows 防火墙进行设置了。

kanecolin

2023-05-07 11:19:25 +08:00

给你个思路：
写一个 2FA 验证的 web 服务，服务可以做 2 个事儿：
- 随机 2 个大端口号，做端口映射，针对外部访问的，同时修改相应的映射关系和防火墙规则
- 将连接地址和随机端口号这些信息通过钩子给你的 IM 的 bots
- 监听 rd 连接关闭的事件，关闭防火墙端口映射关系

这个解决方案可以尽可能的避免非人控期间的暴露风险但是没有办法防止远程期间的端口扫描干扰

iloveayu

2023-05-07 15:19:50 +08:00

3388 好办，加个 2FA 服务或者 usb 硬件密钥，rdp 可以支持的，成型方案也挺多，如果不自己写基本都需要付费。
数据库没啥好办法，上随机的强密码吧。

justjy

2023-05-07 15:30:49 +08:00

云服务器的话只开放 3389 端口并限定访问的 ip 地址段 SQL 维护通过 RDP 进行

dedemao

2023-05-07 15:49:43 +08:00

只开 80 和 443 ，其余要么关掉，要么限定指定 IP 访问。administrator 账号必须禁用。最重要的是做好备份，即便被勒索了，有备份，可以不求人。

tohert

2023-05-07 16:10:51 +08:00

@whileFalse 我现在处理的只是暂时不用默认的端口，数据库还得外网能连。

tohert

2023-05-07 16:20:20 +08:00

@dedemao
@unclemcz
现在是关了数据库和远程的默认端口，没有限定 ip 白名单，本地的 ip 是不固定的

adoal

2023-05-07 16:45:48 +08:00

都在跟你说数据库端口不要对公网开放，你非要坚持说数据库端口不放公网你就没法维护……

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/937991

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.