腾讯云 win2008 被暴力登录怎么办

2018-03-09 10:35:40 +08:00
 vve2ex
前几天上车腾讯云,装了个 win2008,今天本来想查看一下远程桌面日志,结果发现了一大片登录失败的日志,
应该是有人暴力登录猜解密码了.

懒得找图床了,简单描述下现象
审核失败, 事件 ID4625, 任务类型登录
失败原因%%2313,查了一下是登录用户名或密码错误的意思
有少数几个 ip 来自一个 58.20 开头的 ip 段,湖南湘潭联通的 ip
大部分日志的 ip 和 port 都是空

本人一个服务器小白,遇到这种情况怎么处理
7022 次点击
所在节点    程序员
37 条回复
realpg
2018-03-09 18:04:07 +08:00
不使用 3389 就是了 改成 13389
wlwood
2018-03-09 18:04:14 +08:00
全球每天都有无数的软件、脚本扫描弱口令
goodboy532
2018-03-09 18:51:45 +08:00
@duoguo 可以学习下 hydra
flynaj
2018-03-09 23:08:45 +08:00
@RainySeason 控制台改防火墙规则
abcbuzhiming
2018-03-09 23:45:02 +08:00
有人扫你而已,别管,密码设复杂点就行
isnowify
2018-03-09 23:47:17 +08:00
我的 server 2016 和 centos 都在被扫…而且 server2016 的 IP 和你的一样
密码设复杂一点就可以了
xenme
2018-03-09 23:50:12 +08:00
最简单就是云自带的防火墙默认全关掉,然后用的时候把自己的 IP 加进去放开或者把你经常用的网络所在 IP 段放开就行了
WordTian
2018-03-10 00:26:41 +08:00
修改用户名 Administrator 为其他名字

设置防火墙,使某端口仅允许特定 IP 段连接,可用安全组或其他防火墙软件,比如火绒
mmdsun
2018-03-10 01:18:14 +08:00
请问 win 的登录日志怎么看。看来我才是小白~
Ehend
2018-03-10 02:23:55 +08:00
改端口,上 nginx
wlwood
2018-03-10 07:25:31 +08:00
建议自己也用个东西自己扫描下,看看都开了啥服务,啥端口。把不用的服务端口关了。然后改登录端口, 登录的密码改长点(其实可以把密码用 MD5 或者 hash 自己的密码,得到的加密字符当密码),这样一般人就登不了了
990148
2018-03-10 08:58:00 +08:00
先把补丁打上吧,查看有没有新建的用户,把密码重新设一次,OK
745839
2018-03-10 10:27:23 +08:00
网络上 24 小时都有机器在扫,无差别无目标,扫到一个算一个。这有什么大惊小怪的。
snsd
2018-03-10 16:09:56 +08:00
@745839
@flynaj 扫来干嘛,难道能搞钱?还是放病毒?
yankebupt
2018-03-10 17:29:36 +08:00
加个蜜罐,只要尝试扫描(或设置连接)你设置的蜜罐端口范围的直接 ban ip 10 分钟...
我觉得一般人除了中毒或者被劫持应该不大可能去连你的蜜罐端口,当然也可能我有疏忽...
感觉虽然这样对白帽不太友好但是觉得可能比较省事...
745839
2018-03-11 08:45:51 +08:00
@snsd 扫到弱口令做肉鸡啊,黑产啊
JoeoooLAI
2018-03-12 17:49:25 +08:00
既然同意 ip 直接在防火墙 ban 掉就可以了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/436425

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX