V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
darknoll
V2EX  ›  程序员

远程办公使用 frp 中转 3389,结果因为密码太简单被黑了

  •  1
     
  •   darknoll · 2020-03-12 11:49:32 +08:00 · 12111 次点击
    这是一个创建于 633 天前的主题,其中的信息可能已经有所发展或是发生改变。

    现在密码已经被改了,里面还有很多重要资料,请问怎么才能进入系统。

    76 条回复    2021-11-11 17:48:54 +08:00
    yamedie
        1
    yamedie  
       2020-03-12 11:59:26 +08:00
    frp 的 remote_port 也用了 3389 没有改端口吗?
    scegg
        2
    scegg  
       2020-03-12 12:00:44 +08:00
    如果能物理接触到电脑的话,还是有办法绕开密码的。但无法读取账户内加密的文件。
    darknoll
        3
    darknoll  
    OP
       2020-03-12 12:04:20 +08:00
    @yamedie 那肯定改了啊
    fanne
        4
    fanne  
       2020-03-12 12:06:05 +08:00
    第一次用 frp 时候,都是默认端口,简单密码,两台机都没黑了,后来只能铲了。
    yamedie
        5
    yamedie  
       2020-03-12 12:06:15 +08:00
    @darknoll 那是不是用了老域名, 没有新建一个名字比较别扭的二级域名? 这是被人扫描到端口后侵入了
    fanne
        6
    fanne  
       2020-03-12 12:07:24 +08:00
    第一次用 frp 时候,都是默认端口,简单密码,两台机都被黑了,后来只能铲了;第二次再用 frp 改了端口跟密码,就稳了。
    zrc
        7
    zrc  
       2020-03-12 12:08:58 +08:00
    这么巧,我也之前也是,用 frp 然后电脑被黑了,密码倒是没被改 ,第二个打开后,看到电脑被打开了一堆东西,估计是在提醒我。



    后来我就换了 mac。
    klesh
        8
    klesh  
       2020-03-12 12:11:03 +08:00 via Android   ❤️ 1
    感觉 frp 躺枪了
    scegg
        9
    scegg  
       2020-03-12 12:12:28 +08:00
    https://neseeef.wordpress.com/2017/09/28/reset-a-windows-10-password-with-cmd/
    就是使用恢复盘进入修复模式,替换掉 osk.exe (虚拟键盘)
    重启电脑,呼出虚拟键盘。
    loginv2
        10
    loginv2  
       2020-03-12 12:13:57 +08:00   ❤️ 1
    frp 是有非暴露端口的方式连接的,两端都需要开 frp,密码认证正确才能建立连接,我一直用这个
    因为之前 3389 被人爆破过
    dremy
        11
    dremy  
       2020-03-12 12:28:02 +08:00 via iPhone
    数据为先,先把 frps 断掉吧
    syuraking
        12
    syuraking  
       2020-03-12 12:30:32 +08:00
    WIN 的远程连接,即使不用 3389 一样会被黑,最好的就是不用
    xiaoz
        13
    xiaoz  
       2020-03-12 13:32:21 +08:00 via Android
    楼主账号是默认的 adminstrator 吗?
    mostkia
        14
    mostkia  
       2020-03-12 13:34:42 +08:00
    22 端口以前天天被人爆破,后来索性关了,使用 webssh
    ik
        15
    ik  
       2020-03-12 13:37:31 +08:00
    我都是用 frp 中转 squid 端口, 通过 squid 连接内网的其他端口
    xingyue
        16
    xingyue  
       2020-03-12 13:41:21 +08:00 via Android
    @loginv2 你好,请问被爆掉是什么情况下,frp 不是有 token 认证么,win 也有登录密码呀,初用 frp+rdp 中,慌得一~
    xiaooloong
        17
    xiaooloong  
       2020-03-12 13:47:07 +08:00
    物理接触被黑的机器,u 盘 pe 强改密码。
    wooyuntest
        18
    wooyuntest  
       2020-03-12 13:49:55 +08:00   ❤️ 1
    楼主说的应该是 3389 密码太弱被爆破了。
    另外,各位最近最好关闭 445,因为 CVE-2020-0796 威力与永恒之蓝相当。
    wslzy007
        19
    wslzy007  
       2020-03-12 13:51:14 +08:00
    额,远程桌面服务千万不要暴露成外网端口,去年的 RDP 漏洞这么快就忘了??系统漏洞可不会因为密码复杂它就安全了
    whywhywhy
        20
    whywhywhy  
       2020-03-12 14:21:05 +08:00
    @wslzy007 先生,不管国内还是国外的服务器,无数 Windows Server 启用了远程桌面,打个补丁不麻烦,Windows 可没有那么脆弱,如果非要不打补丁,当我没说
    mezhangkai
        21
    mezhangkai  
       2020-03-12 14:28:49 +08:00
    这个不是 frp 的锅吧。
    Sharuru
        22
    Sharuru  
       2020-03-12 14:30:51 +08:00
    RDP 有漏洞,3389 容易爆破。
    公司有个人的电脑就因为暴露了 3389 被漏洞直接装了勒索病毒。

    用 VPN 打洞到内网或者通过 P2P 模式可以有效提升安全性。
    Mithril
        23
    Mithril  
       2020-03-12 14:31:43 +08:00
    @Sharuru 如何确定的是漏洞而不是爆破?
    IITII
        24
    IITII  
       2020-03-12 14:35:16 +08:00 via Android
    这应该是你自己密码太简单的原因,frp 纯属躺枪
    请使用 frp 点对点加密
    IITII
        25
    IITII  
       2020-03-12 14:37:08 +08:00 via Android
    还有如果我没记错的话,rdp 是支持证书认证的,还有一件事,最好禁用默认账户 Administrator
    NG6
        26
    NG6  
       2020-03-12 15:34:25 +08:00
    我觉得这种工具都难用的很,你得一个端口一个端口的转发,直接用 v2ray 搞,简单又方便,跟 v*n 一样,免设置所有端口都可以访问,安全性还高
    mahonejolla
        27
    mahonejolla  
       2020-03-12 15:45:36 +08:00
    @NG6 请教下,v2ray 这个是什么招数,这个软件不是富强的吗。在国内主机安装,这样连接可以远程桌面的吗?
    FengMr
        28
    FengMr  
       2020-03-12 16:15:04 +08:00
    我之前也是用的 frp,现在都是 ZeroTier。
    darknoll
        29
    darknoll  
    OP
       2020-03-12 16:26:55 +08:00
    @loginv2 明白了,看了下说明书,应该是用 stcp 这种方式连接远程桌面
    mcone
        30
    mcone  
       2020-03-12 17:20:02 +08:00
    我也是 frp3389,但是我觉得在你这里面 frp 躺枪了

    如果是自己的 frpc,一定要做好端口屏蔽,不需要的时候赶紧关了,你这敞开着,不就是给别人方便的么
    qceytzn
        31
    qceytzn  
       2020-03-12 19:45:44 +08:00
    @Sharuru 远程连接内网还有 P2P 的方式?代表软件是啥?
    zjsxwc
        32
    zjsxwc  
       2020-03-12 19:58:40 +08:00 via Android
    frp 不是和域名绑定吗,还能暴力域名吗?
    g079708
        33
    g079708  
       2020-03-12 20:16:53 +08:00 via iPhone
    希望你没有中勒索病毒
    ferock
        34
    ferock  
       2020-03-12 20:23:48 +08:00
    瞎搞
    evilic
        35
    evilic  
       2020-03-12 20:26:56 +08:00
    先断网,然后 PE 启动删除密码,然后登陆看情况。
    我自从 TEAMVIEWER 把我认为商业用途之后,就一直路由 NAT 到 PC 的 3389 端口。我过我用的是 DDNS,不清楚域名的人应该没办法永久连接我的电脑,IP 总是在变。
    nmap
        36
    nmap  
       2020-03-12 20:47:06 +08:00
    frp 的公网端口一定要加密啊不然太太太危险了!
    ajaxfunction
        37
    ajaxfunction  
       2020-03-12 21:57:15 +08:00
    我过年期间也是这个原因啊,我进去的时候正在拷贝文件,
    我嫌重装系统麻烦,所以现在都没有安装,鬼知道有没有安装病毒什么的
    ps1aniuge
        38
    ps1aniuge  
       2020-03-12 22:03:01 +08:00   ❤️ 1
    原创 powershell 脚本:通过远程桌面 3389 黑名单,阻止黑客 ip
    https://www.cnblogs.com/piapia/p/10922513.html
    ps1aniuge
        39
    ps1aniuge  
       2020-03-12 22:04:46 +08:00
    @syuraking winrm 远程连接的 4 个级别。有 2 个级别是使用肺对称密钥的,啥也不懂你。
    ps1aniuge
        40
    ps1aniuge  
       2020-03-12 22:05:49 +08:00
    赖法,强制启动,https 版的 winrm ---powershell 远程连接( winrm )的 4 个安全级别,详解
    ps1aniuge
        41
    ps1aniuge  
       2020-03-12 22:06:00 +08:00
    brotherlegend
        42
    brotherlegend  
       2020-03-12 22:14:25 +08:00 via Android
    我也用 frp,但没有任何一个默认端口的。
    boboyu1010
        43
    boboyu1010  
       2020-03-12 22:32:32 +08:00
    frp 和 3389 端口躺枪,密码太简单是罪魁祸首。可以远程桌面可以设置为用证书登录。
    建议处理步骤:
    1、先停掉服务器的 frp ;
    2、用 PE 进入电脑,清除原来管理员的密码,更改为复杂密码;
    PS:建议把重要文件复制出来杀毒,然后重装系统,以免留下手尾。
    boboyu1010
        44
    boboyu1010  
       2020-03-12 22:35:22 +08:00
    如果启用了 bitlocker,那本人暂时也束手无策
    sarices
        45
    sarices  
       2020-03-12 22:59:56 +08:00
    再来推荐一波 zerotier,加上自建 moon,见完全没任何问题
    wangfei324017
        46
    wangfei324017  
       2020-03-13 01:49:53 +08:00
    额,为啥不试试改端口呢,,,改一个 5 位数高端口
    qile1
        47
    qile1  
       2020-03-13 01:54:06 +08:00 via Android
    我四台虚拟化服务器全部中毒,十几台服务器被挂马挖矿中!
    hand515
        48
    hand515  
       2020-03-13 08:34:55 +08:00
    只敢用 stcp 来暴露服务
    pluto8528
        49
    pluto8528  
       2020-03-13 08:51:14 +08:00 via Android
    家里用 ddns+端口转发 rdp 安全吗各位大神🙃
    Ansen
        50
    Ansen  
       2020-03-13 08:59:43 +08:00
    1、不要用 administrator 这类常见的用户名
    2、不要用弱密码

    我用了好几年了,没出过问题。
    meppy
        51
    meppy  
       2020-03-13 09:15:28 +08:00
    @mostkia #14 改个端口不就好了
    nicevar
        52
    nicevar  
       2020-03-13 09:20:40 +08:00
    @wangfei324017 @meppy 改端口有什么用,掩耳盗铃,nmap 扫一下就出来了,你试一下就知道了
    Ainndy
        53
    Ainndy  
       2020-03-13 09:24:48 +08:00 via iPhone
    难道你们不想问楼主的简单密码是什么吗
    cuixiao603
        54
    cuixiao603  
       2020-03-13 09:26:18 +08:00
    @nicevar #52 这除非是被针对,否则对于黑客来说成本太高,黑客通常都是扫默认 3389
    wangxiaoaer
        55
    wangxiaoaer  
       2020-03-13 09:28:14 +08:00 via Android
    @nicevar 除非目标明确,否则全网扫 IP, 然后每个 IP 扫端口? 我觉得改端口还是有点用的,相当是隐藏自己,但万一被发现,若武功不就还是会被打死。
    nicevar
        56
    nicevar  
       2020-03-13 09:35:29 +08:00
    @cuixiao603 你想多了,你以为现在这事都要由人来干?这种全局专门扫 3389 端口的自动程序 04 年就满天飞了
    brotherlegend
        57
    brotherlegend  
       2020-03-13 09:36:20 +08:00 via Android
    @ps1aniuge 高手 ,膜拜。
    cuixiao603
        58
    cuixiao603  
       2020-03-13 09:42:19 +08:00
    @nicevar #56 通常知道改端口的人安全意识较强,口令平均复杂度会高一些,即使扫的到也不太愿意尝试爆破,我的服务器之前没改端口 每天会被疯狂尝试,改了之后就没收到过了
    NSAgold
        59
    NSAgold  
       2020-03-13 09:47:24 +08:00 via Android
    3389frp22😏
    应该不会有人用 rdp 连 ssh 的默认端口都
    nicevar
        60
    nicevar  
       2020-03-13 09:52:55 +08:00
    @cuixiao603 跟你说执行这些扫描爆破操作不一定是人肉操作,是已经早就写好的程序,3389、MySQL、redis、ssh 以及自动挖矿这些都是全自动的了,自动大范围找 ip 端扫描,然后自动爆破,自动植入木马再在入侵的机器又继续这些操作,又不耗自己的资源,你改个端口顶多降低一些针对特定端口的扫描程序
    killerv
        61
    killerv  
       2020-03-13 10:26:07 +08:00
    frp 如果想安全点,最好使用双向 frpc,不暴露端口。
    hongwanzhang
        62
    hongwanzhang  
       2020-03-13 11:01:22 +08:00
    今天内网也被黑植入了木马,端口号太简单可能,其它端口比较不常见的没有问题
    Tonni
        63
    Tonni  
       2020-03-13 11:38:26 +08:00
    用 frp 暴露 shadwosocks 的代理,然后所有的链接都通过 shadowsocks 的形式来连接。
    Hazurt
        64
    Hazurt  
       2020-03-13 11:41:48 +08:00
    公司专线是固定 ip,在路由上开放特定 ip 的端口许可的转发应该是安全的吧。
    laqow
        65
    laqow  
       2020-03-13 11:48:57 +08:00 via Android
    ssh 登录用了本地 512 位密匙安全吗?还是必须在 ss 等协议后面才安全?
    Explr
        66
    Explr  
       2020-03-13 12:31:08 +08:00 via iPhone
    @boboyu1010 请问远程桌面如何设置证书登录?我一直在找这方面资料,只找到了硬件智能卡登录,有软件解决方案吗?
    datou
        67
    datou  
       2020-03-13 12:35:19 +08:00
    远程办公请直接购买 tv 企业授权
    beginor
        68
    beginor  
       2020-03-13 13:00:04 +08:00 via Android
    frp 表示这锅不背, 请使用 stcp 模式。
    ps1aniuge
        69
    ps1aniuge  
       2020-03-13 17:34:55 +08:00
    38 楼内的脚本有个 bug,已经除掉。
    fgpgy
        70
    fgpgy  
       2020-03-13 20:27:14 +08:00
    最起码改个端口啊
    NG6
        71
    NG6  
       2020-03-19 15:48:02 +08:00
    @mahonejolla 你仔细看一下文档就知道了,可以当 VPN 用的,也可以做跳板来连接另一台主机,安全可控,全端口访问
    commoccoom
        72
    commoccoom  
       2020-05-13 16:29:28 +08:00
    目前用国内阿里云+frp 中转 rdp,更改用户名 端口 并且 阿里云上的 iptables 仅允许特点 ip 访问, 还装了一个 Duo Authentication for Windows Logon 配合 手机上的 app 做登录认证。使用半年了暂时没有发现问题。
    gouchaoer
        73
    gouchaoer  
       2020-07-22 17:55:05 +08:00
    数据库怎么提权的?是你把许多机器的 root 的 ssh 都放到数据库了?
    impig33
        75
    impig33  
       208 天前
    威 p 恩好,不让你用啊
    justaname
        76
    justaname  
       24 天前
    @nicevar 问题是网络上有无数的主机 IP ,哪怕是脚本扫描扫几个固定端口和扫整个六万多个端口成本完全不在数量级,大部分攻击者除非有特定网段的针对目标,不然肯定扫固定端口呀,每天扫一万个目标和扫一百万个目标肯定是选前者的多
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2361 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 14:25 · PVG 22:25 · LAX 06:25 · JFK 09:25
    ♥ Do have faith in what you're doing.