V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
alan9999
V2EX  ›  信息安全

求助,被入侵了,如何减小损失?

  •  
  •   alan9999 · 16 天前 · 12999 次点击

    一台旧 windows 电脑放在公司用 frp 暴露在公网上,弱口令,方便平时在外远程

    今天早晨发现路由器网络有异样,登录查看日志,发现很多 frp 登录记录

    立即警觉,发现那台旧 Windows 密码被改了,赶紧断网,找回密码

    登录进去后发现 在系统 Picture 文件夹被人新建了一个名为 FAT 的文件,里面放了一堆密码查看的工具

    有一个查看 Chrome 密码记录的软件是打开的,我平时常用网站的密码应该都泄露了,苹果、QQ 、淘宝、京东...

    他还扫描了局域网内其他的电脑,用我 Chrome 里面的密码尝试登录其他电脑(应该没有成功)

    求助各位大佬,目前这种情况有哪些风险,如何减小密码泄露带来的损失呢

    第 1 条附言  ·  16 天前
    刚才发现旧 Windows 里 Windows Defender 被禁用了
    所有 exe 文件的"修改时间"全部变成 被入侵的时间了,被种了木马, 准备全部格了重装
    第 2 条附言  ·  15 天前
    我的主要应用场景是在外用 iPhone 远程做一些操作,所以网络结构不能太复杂
    127 条回复    2024-12-03 10:13:16 +08:00
    1  2  
    maxwellz
        1
    maxwellz  
       16 天前   ❤️ 1
    把 chrome 的密码导出来,先把一些优先级高的密码改了
    huaxing0211
        2
    huaxing0211  
       16 天前   ❤️ 1
    弱口令是大问题,当然 frp 开启远程桌面是强烈不建议使用简单的 tcp 模式的,容易爆,而应该是 stcp+xtcp ,自带复杂的 secretKey ,端口也不暴露,本机使用“127.0.0.1:端口号”来登录,甚至可以使用“allowUsers ”来进一步的简单限制登录者!
    NGGTI
        3
    NGGTI  
       16 天前   ❤️ 1
    先重装所有电脑吧,修改所有密码。不要有侥幸心理。
    deepbytes
        4
    deepbytes  
       16 天前 via iPhone   ❤️ 1
    备份重要数据,格式化旧 windows ,使用微软账号登陆,配合强密码
    重要帐户修改为高强度密码后启用双因素认证
    后续,使用密码管理工具,禁用 chrome 密码管理
    Frp 如果要继续使用,修改认证密码,在 rdp 上套个 ssh 吧
    Byleth
        5
    Byleth  
       16 天前
    你是把 3389 暴露在公网了?
    Byleth
        6
    Byleth  
       16 天前
    估计直接把 cookie 全偷走了吧,要是有某些不支持改密码后下线所有设备的服务,改密码也没用了
    yinmin
        7
    yinmin  
       16 天前 via iPhone   ❤️ 2
    赶紧把所有密码都改了,要快。被黑的电脑要格掉重装。

    frp+rdp+弱口令=作死三件套,很多人中招,甚至企业被黑,违反规定私设 frp 的员工被送进局子。

    现在网络上盲扫 rdp ,登录后加锁文件勒索比特币,已经成黑产自动化一条龙了。

    重要的事情说三遍:rdp 不要直接暴露在公网上,rdp 不要直接暴露在公网上,rdp 不要直接暴露在公网上。
    frankilla
        8
    frankilla  
       16 天前
    chrome 密码明文,因为这个我就完全不用它保存。
    totoro625
        9
    totoro625  
       16 天前   ❤️ 1
    旧电脑属于可信认环境,基本上所有账户,和关联账户都丢权了
    所有账户都有可能被盗,公司内部其他电脑使用弱密码的也可能被入侵
    后续入侵不像是自动化入侵的,应该是有个人主动操作的
    报警吧,个人能力解决不了的
    c0t
        10
    c0t  
       16 天前
    @Byleth 现在这种网站应该都被盗刷打烂了吧,不过确实要注意
    xuanbg
        11
    xuanbg  
       16 天前
    在公司用 frp 简直就是作死。在 V2 上经常有人问怎么在公司开 frp 远程操作公司的电脑,实在是无法理解这种行为。不是,你图啥啊
    deepbytes
        12
    deepbytes  
       16 天前 via iPhone   ❤️ 1
    再读题干,楼主是不是觉得方便,私自搭建 frp 后,实现公网环境下远程连接自己的旧电脑,做一些公司的事情,这样可以不带电脑回家办公…
    访问公司内部系统,很可能公司内部 VPN 客户端也在这台旧电脑上,那就一窝端了…
    somebody1
        13
    somebody1  
       16 天前   ❤️ 1
    我记得有很多帖子,很多人为了方便,就来问跟楼主这样方便一点的方法有没有,大家都是劝诫为主,这个帖子导致这个结果真的是不意外。

    我唯一意外的是,frp 暴露在公网,为什么还要弱口令?长一点的好记一点的密码很多吧,另外就是你都弱口令了,为什么还要 chrome 还要记录自己的密码?

    还有一点就是,你全篇没有确认黑客有没有横向移动,这种情况下报警+请网络安全公司过来做个服务支撑是最好的。即使你改了密码,黑客横向移动之后也可以想办法回连自己,你们公司的资产就一直在黑客的掌控下了。
    mdb
        14
    mdb  
       16 天前
    我是家里的电脑装 frp ,可以从公司远程回去,frp 服务端部署在腾讯云上,远程的端口限制了只能公司 IP 和家里 IP 访问,不知道这样安不安全
    cjban
        15
    cjban  
       16 天前
    我司上周刚被勒索了,数据库没有备份,最后花钱找的解密公司解密。
    这件事中令人难以置信的是程序员电脑竟然没有设密码= =
    james122333
        16
    james122333  
       16 天前 via Android
    心是真的很大 安全机制上完全过不了关 还用 windows 并且私密东西放上面那就...
    liuzimin
        17
    liuzimin  
       16 天前
    @cjban 没设密码好像不能远程桌面?
    seanxx
        18
    seanxx  
       16 天前   ❤️ 2
    感觉你要进局子
    james122333
        19
    james122333  
       16 天前 via Android
    远程开放并且可偷的东西都放上面
    搞不懂这是什么操作 既然是远控 你身边手裏的机器才是管理员 顶多相互保证
    onikage
        20
    onikage  
       16 天前   ❤️ 1
    公网弱口令就别说了,下次吸取教训吧。
    joyhub2140
        21
    joyhub2140  
       16 天前   ❤️ 1
    没杀毒软件嘛?这些密码查看工具应该很容易识别吧,就是 Windows defender 都能干掉不少间谍泄密软件。
    alan9999
        22
    alan9999  
    OP
       16 天前
    @Byleth 修改了端口号,可是还是被扫到了,还是不应该弱密码抱侥幸
    zhangeric
        23
    zhangeric  
       16 天前
    @liuzimin 改安全策略就能用
    zgzhang
        24
    zgzhang  
       16 天前   ❤️ 2
    @alan9999 做安全的人真的觉得你这种行为该死呀,如果是专业一点的话,需要最几件事情:
    1. 首先所有系统全部更改密码,并且查看关键系统的登录记录
    2. 老旧的 windows 马上重装
    3. 如果有日志的话,根据日志判断失陷主机的过往扫描范围,如果可以这些主机全部重装
    另外如果你这种行为,发生在一个关注安全的大型公司,大概率要被开除,所以后续不要搞骚操作了
    james122333
        25
    james122333  
       16 天前 via Android
    @zgzhang

    这操作一点也不骚 还讲究姿势的
    alan9999
        26
    alan9999  
    OP
       16 天前
    @xuanbg 不想带电脑回家,方便远程操作,弱密码抱侥幸心理了
    iceecream
        27
    iceecream  
       16 天前
    @cjban 什么解密公司还能解密密钥加密?
    alan9999
        28
    alan9999  
    OP
       16 天前
    @mdb 家里是电信的动态 IP 经常变,怎么办呢
    james122333
        29
    james122333  
       16 天前 via Android
    @alan9999

    你这一系操作满满的吐槽点 还不只弱密码
    zgzhang
        30
    zgzhang  
       16 天前   ❤️ 3
    @alan9999 现在有很多公网的攻击面测绘工具,比如 fofa 、鹰图可以快速找到把服务开在公网的 frp 服务,你是最傻的一种,用了弱密码,你这种开上两天我估计能进来几波不同的人,即使是强密码,你能确定 frp 没有漏洞吗,至于怎么做,搞个 VPN 不好吗,方便是方便了,出个事会死人的,我见过一个判刑的 case ,操作跟你一样,只不过他运气比较差,通过这个跳板连接了业务数据库,然后非常多的数据被加密勒索,最后就是三年
    zgzhang
        31
    zgzhang  
       16 天前
    villivateur
        32
    villivateur  
       16 天前   ❤️ 2
    出了说一句“活该”,以及赶紧重装系统改密码以外,还能说什么呢?总不能跟你们老板自曝说你们公司的机密可能因为你被泄露了吧。
    coolloves
        33
    coolloves  
       16 天前
    非 administrator ,加十几位密码,然后 frps 上脚本定时检查,有爆破的 ip ban 掉.一般问题不大吧
    cominghome
        34
    cominghome  
       16 天前
    远程值守为啥不考虑 TeamViewer 这样的软件,哪怕装个国产向日葵呢?
    wheat0r
        35
    wheat0r  
       16 天前   ❤️ 1
    我觉得 frp 只适合暴露对外提供的服务,自用服务就根本不该用 frp 。
    别的都没什么可说的了。
    jaylee4869
        36
    jaylee4869  
       16 天前   ❤️ 3
    Tailscale 无论是便捷程度和安全性都完爆 frp 。
    dbak
        37
    dbak  
       16 天前   ❤️ 1
    人家 frp 都提供了安全的暴露内网服务的方式 用 stcp 或者 sudp 你这直接暴露在公网还弱口令 还是公司内网 公司安全部门要是查出来 给你开了都活该
    alan9999
        38
    alan9999  
    OP
       16 天前
    @joyhub2140 Windows defender 应该是被第一时间关闭了
    huangsijun17
        39
    huangsijun17  
       16 天前   ❤️ 1
    个人建议,试试看 RDP over SSH 。微软给了 OpenSSH 的官方支持,预装客户端,选装服务端。使用秘钥验证的话,基本不可能有爆破的可能了。你 FRP 反代 SSH 的 22 端口出来,连接时使用 ssh 自带的端口隧道映射 3389 到本机,再去远程桌面链接。
    Byleth
        40
    Byleth  
       16 天前
    @jaylee4869 确实,还是零信任来的安全,除非 ts 自己爆漏洞
    cjban
        41
    cjban  
       16 天前
    @iceecream #37
    我搜了一下是老病毒,21 年就暴露了,可能加密方法已知?
    本来想帮公司省省钱,但是数据库项目组组长不让我碰他们的电脑🤷,那我就不管了。
    cjban
        42
    cjban  
       16 天前
    @liuzimin #17
    他们用什么向日葵、帮我吧....
    hafuhafu
        43
    hafuhafu  
       16 天前
    经典操作,而且还经常能在 V2 上面看到。实际上既不方便,也不安全。
    密码泄露改密码完事,有些网站能注销会话的顺手注销一下。对你个人而言影响其实不算很大。
    你得庆幸公司没出啥问题。
    Satansickle
        44
    Satansickle  
       16 天前
    @yinmin 是啊,我就中过招,现在 rdp 只敢走 v6 连接,v4 坚决不敢暴露,另外部署好 ipban+强用户名+强口令+跟随更新,两三年没被扫过了。
    ShinichiYao
        45
    ShinichiYao  
       16 天前   ❤️ 1
    administrator 用户?我觉得除非 rdp 自身漏洞,不是默认用户名哪怕爆破连用户名都很难猜出来
    noyidoit
        46
    noyidoit  
       16 天前   ❤️ 1
    公网、弱口令、公司、横向*应该*没有成功......欢迎收录至“你见过在工作中捅过最大的篓子是什么”
    user100saysth
        47
    user100saysth  
       16 天前   ❤️ 1
    你唯一应该感到庆幸的是,现在很多网站自带二次动态验证,没验证码根本登不上
    liuzimin
        48
    liuzimin  
       16 天前
    @cjban 我擦。。。用向日葵为什么也会中招啊?
    x86
        49
    x86  
       16 天前
    公司开 frp 可厉害了
    sazima
        50
    sazima  
       16 天前
    @coolloves 可能有 0day 漏洞, 再强的密码都没用。
    fugu37
        51
    fugu37  
       16 天前
    @user100saysth #47 cookies 可以绕过登录直接操作账户
    fbichijing
        52
    fbichijing  
       16 天前   ❤️ 1
    有没有办法获取到远端连接的 IP ,溯源去搞他/她,如果没有跳板的话...

    还是说,这种想法太天真了?
    liudewa
        53
    liudewa  
       16 天前
    @xuanbg #11 大佬问下,使用 todesk 用固定密码 会出现这种风险吗
    alan9999
        54
    alan9999  
    OP
       16 天前
    @ShinichiYao 不是 Administrator ,用户名也很弱,4 个字符,应该很容易猜出来
    alan9999
        55
    alan9999  
    OP
       16 天前
    @fbichijing 我看了登录记录,IP 很杂有韩国、香港、瑞士 苏黎世、西安,应该用了代理
    FawkesV
        56
    FawkesV  
       16 天前
    我是 Tailscale 感觉打洞成功 能够直联 也不卡的呢
    erxiao
        57
    erxiao  
       16 天前
    @yinmin 您好,请问 frp 已经设置了 token ,并且 rdp 登录使用网络身份证(微软账号密码),这样子安全吗? rdp 不暴露的公网是什么意思呢
    ShinichiYao
        58
    ShinichiYao  
       16 天前
    @sazima RDP 如果出 0day 肯定满世界头条新闻了,微软也绝对会第一时间补上漏洞,真手里有这等级的漏洞的人也不会拿来搞普通用户
    yinmin
        59
    yinmin  
       16 天前   ❤️ 1
    @erxiao #57 如果您通过互联网 IP 访问远程桌面,那么远程桌面协议( RDP )就会暴露在互联网上。弱密码可能被黑客破解,而且如果微软的 RDP 出现零日漏洞,黑客同样可以利用。因此,建议使用更安全的 stcp 。
    guo4224
        60
    guo4224  
       16 天前
    还惦记自己 qq 呢?赶紧想想怎么跟你们老板交代吧。
    luis330
        61
    luis330  
       16 天前
    那借楼问一下,我先 wireguard VPN 回服务器,服务器上起 frps ,然后再使用 frpc 通过 stcp 连接 VPN 的私网 IP ,风险如何?
    主要使用的是 frpc 的 socks5 代理 插件功能。
    erxiao
        62
    erxiao  
       16 天前
    @yinmin 好的 感谢。stcp 就是三台电脑,内网电脑,vps 还有客户端都安装 frp 吧
    snailya
        63
    snailya  
       16 天前
    @alan9999 盲猜测 root
    zuotun
        64
    zuotun  
       16 天前   ❤️ 1
    注意审题:如何减小损失,我觉得提桶跑路比较实在,运气不好可能就要被公司送进去了。
    superBearL
        65
    superBearL  
       16 天前
    公司的东西还是得小心,轻则丢几个密码,总则追责追到进局子
    chenbin36255
        66
    chenbin36255  
       16 天前
    @luis330 直接映射 wireguard 的端口 用 vpn 连回内网比较安全
    lesterchen
        67
    lesterchen  
       16 天前
    我记得一个新闻,好像是小米还是哪家公司的员工就是像你一样内网穿透暴露到了公网,然后被黑了,最后进去了~
    hack2012
        68
    hack2012  
       16 天前   ❤️ 1
    记得把所有密码修改一遍
    wukaige
        69
    wukaige  
       16 天前
    吓得我赶紧把 frpc 服务关掉 :<
    slrey
        70
    slrey  
       16 天前
    公司电脑,除了工作,不要做任何其他事情。实在想上淘宝,手机上不好嘛
    xqk111
        71
    xqk111  
       16 天前   ❤️ 1
    吓得我也关了
    GrayXu
        72
    GrayXu  
       16 天前
    居然没被开除,最宽松的一集
    Altairvelvet
        73
    Altairvelvet  
       16 天前
    配置 FRP 的服务器,你多少也得安装一个 CSF 管理防火墙吧?
    tabc2tgacd
        74
    tabc2tgacd  
       16 天前
    @Byleth 3389 暴露在公网不是什么大问题,主要问题是弱口令。我自己家里也有一台电脑通过 ssh 反向代理暴露在公网,从来没出过问题。不过我这台电脑放在一个单独子网里,就算被扫描到,还猜到密码了,也不至于全军覆没。
    qwwuyu
        75
    qwwuyu  
       16 天前
    @dbak stcp 是 内网主机(加密客户端) <-> 公网主机(加密主机内部端口) <-> 本机(加密客户端) 这样子访问吗?
    还是说只有内网主机和公网主机之间是加密的,那样感觉还是不安全呀
    blackguester
        76
    blackguester  
       16 天前
    入侵你的傢伙會不會也在看這個帖子?
    phrnet
        77
    phrnet  
       16 天前
    弱口令是最大的问题 我今天也被爆破 RDP 不过没弱口令跟 360 对方老实了
    LanhuaMa
        78
    LanhuaMa  
       15 天前
    @Satansickle #44 https://news.ycombinator.com/item?id=42161517

    什么时候大规模出现扫 v6 机器人你要完蛋。暴露 v6 说白了还是 security by obscurity, 迟早要出事的
    jedihy
        79
    jedihy  
       15 天前
    报警吧
    aulayli
        80
    aulayli  
       15 天前
    安全意识太差了,win 暴露公网没问题,3389 暴露也没问题,问题在于你的弱口令,win 要暴露公网最好用微软账户进行登录。
    yyyb
        81
    yyyb  
       15 天前   ❤️ 1
    心真大,这次应该能长点记性
    hyperbin
        82
    hyperbin  
       15 天前 via Android
    @frankilla 只要想在本地使用自动填充,你就得在本地暴露明文密码,又想加密又想自动填充在逻辑上就不可能同时存在
    Lynntox
        83
    Lynntox  
       15 天前   ❤️ 1
    公司 内网这些根本不敢动 不出事都好说 出事了都是屎
    yaott2020
        84
    yaott2020  
       15 天前 via Android   ❤️ 1
    楼主这种行为真是纯纯找死,为了图方便居然用弱口令? frp 里有个 stcp 为啥不用呢
    lazyyz
        85
    lazyyz  
       15 天前 via Android   ❤️ 1
    借楼问一下,使用 zerotier 或 tailscale 组网再访问是否能保证安全?
    ZGame
        86
    ZGame  
       15 天前
    上第三方! 超融合花钱买平安
    pigf
        87
    pigf  
       15 天前
    弱弱的问一句,公司电脑 toDesk 和向日葵常年开着,会有问题吗?
    renmengkai
        88
    renmengkai  
       15 天前   ❤️ 1
    修改所有账号密码、重装系统就好
    duck2
        89
    duck2  
       15 天前
    坏了,被人打进公司内网,提前和信息部门沟通吧,别真整出啥幺蛾子造成损失,
    coldle
        90
    coldle  
       15 天前
    内网其他设施有 2fa 吗?建议先想办法排查下其他机器有没有被入侵免得进局子
    kios
        91
    kios  
       15 天前
    你居然敢用公司网络,你是真的勇
    shingoxray
        92
    shingoxray  
       15 天前
    涉及钱和隐私的,没有双因素认证的,赶紧改密码+双因素。
    现在黑客门槛很低,黑客工具泛滥,没事不要开公网,更别提还在使用弱密码了。
    sazima
        93
    sazima  
       15 天前
    @ShinichiYao 也可能 frp 0day
    Hyvi
        94
    Hyvi  
       15 天前 via iPhone
    赶紧把 ssh 代理去掉,只保留了 http 服务端口。
    akiraz
        95
    akiraz  
       15 天前
    借楼问一下,frp 暴露的 ss 服务端口,再连回家这样安全吗
    tangchi695
        96
    tangchi695  
       15 天前   ❤️ 1
    电脑没装杀软吗?我也是公司的一台 windows 电脑开了端口映射把远程桌面映射到公网,还映射了一堆服务。天天都能看到杀软的日志显示有人尝试黑进来😢
    liuzimin
        97
    liuzimin  
       15 天前
    @tangchi695 你们装的哪家杀软啊?
    tangchi695
        98
    tangchi695  
       15 天前
    @liuzimin 就随便装的一个国产的啊,说名字感觉又像打广告了,反正国产的就那几家感觉都大差不差的。
    mmdsun
        99
    mmdsun  
       15 天前
    这安全太薄弱了。改端口没卵用的。上一个在 v 站还是知乎看到的,已经进去了。想办法降低 损失吧。
    letmefly
        100
    letmefly  
       15 天前   ❤️ 1
    @lazyyz 理论上是安全的,但是对斯诺登之类的,可能就是等于门户敞开。
    如果没公网,拨号也每隔一段时间就要重拨的家用宽带,我觉得是不怕的。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1624 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 16:36 · PVG 00:36 · LAX 08:36 · JFK 11:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.