V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
ppbaozi
V2EX  ›  宽带症候群

开放了一台无密码的 win7 虚拟机远程桌面到公网看神仙打架

  •  2
     
  •   ppbaozi · 152 天前 · 6212 次点击
    这是一个创建于 152 天前的主题,其中的信息可能已经有所发展或是发生改变。

    是这样的

    这台 win7 在内网 esxi 上面,管理员账号设了复杂密码,没可能被暴力破解 新建了一个 Users 组的用户:admin ,无密码,允许远程桌面登陆和无密码登陆,直接使用 3389 标准端口对外开放

    win7 自带防火墙加了两条出站规则:

    1. reject 到内网网段所有协议的流量,除了 dns 服务器
    2. reject 到 dns 服务器的 tcp 协议流量

    那么理论上

    admin 用户的文件修改权限仅限 C:\Users\admin 目录

    没有系统级配置的修改权限,包括网络,防火墙,组策略,注册表等等等等

    对内网的威胁仅限 dns 服务器非 tcp 流量的情况,dns 服务是 openwrt

    主路由是 routeros ,开放有 mac-winbox 服务,测试发现 win7 的防火墙是不管二层协议的,可以用 winbox 走 mac 协议直达主路由,不过我没在 ros 再加策略,我觉得风险不大,ros 密码强度也足够

    那么我想问我家里网络沦陷的风险有多大?我内网里还有群晖、安了 debian 的笔记本、华硕路由,我是不是在玩火?😆


    已经开放 1 天,上百条 tcp 扫描,目前情况是

    桌面被换,\Users\admin 目录下一些文件被替换成所谓的 encrypt 文件

    浏览记录里有“黑客”中转病毒的地址

    其他一些正常

    还有,,每隔几分钟就会有人来挤出登陆

    第 1 条附言  ·  152 天前

    看了些评论 纠正下admin是属于Guests组,就是访客用户,原则上比Users权限更低的些,虽然我不知道具体差别是什么

    一个无补丁的win7肯定存在各种漏洞这我知道,但是作为个测试机,即使提到管理员权限也无所谓,权当测试玩一玩

    对于内网其他设备的风险也没有很在意,其实没有多少值得被攻击的设备,大多数都是esxi的虚拟系统,都有密码,都有快照

    我只给它分配了一个虚拟cpu,考虑到了可能会被用来暴力破解,所以限制一下性能

    我会有点担心的是:

    • esxi的虚拟层会不会被绕过直接黑掉esxi
    • routeros会不会存在漏洞被绕过身份校验,它本身就是个完全暴露在公网的设备,可能性应该比较低
    第 2 条附言  ·  151 天前
    1 月 25 日
    竟然无事发生,没有被登陆过的痕迹
    第 3 条附言  ·  149 天前
    2022-01-26 更
    已经连续两天没人光顾了,只有扫描没有登录,怪事
    第 4 条附言  ·  149 天前

    2022/01/27 1:35 更

    终于有人光顾了

    对方ip:58.33.75.54 ,上海电信家宽?

    试图大量向外扫3389,reject处理...

    第 5 条附言  ·  148 天前
    2022/01/28 00:40
    今天中 2 次同款勒索病毒,他会运行一个 cmdenter.exe 的后台进程 cpu 常常占用 100%,没有网络流量不知道他是干嘛的。有一个开机启动放在开始菜单-启动里面。。。这种级别的病毒 kill 掉就一切正常了,没啥东西

    调整下安全配置:
    win:在管理员账号下写了个守护脚本把 user 目录下 cpu 占用超过 90%,cpu 时间超过 5 分钟的进程直接 kill
    esxi:限制虚拟 cpu 频率:1G
    路由器:限制向外发包速率 5p/s ,vlan 隔离了虚拟机,二层也无法通到我内网了,在它 vlan 下专门部署了一个 openwrt 转发所有流量出海,免得用我的 ip 搞事情,进来的人还能留学嘻嘻
    第 6 条附言  ·  145 天前

    2022/01/31

    几天下来无非就是勒索病毒、扫内网服务和一次门罗币挖矿,没别的新鲜玩意儿了

    扫描和挖矿的只要cpu时间超过存活时间的30%运行2分钟以上,就会被我脚本kill

    有个人发现没法玩,离开前还把他的工具都删了,搞笑的

    42 条回复    2022-01-27 19:58:46 +08:00
    felixcode
        1
    felixcode  
       152 天前   ❤️ 12
    可以用你家里的 IP 发布一些严重的言论或消息,然后追查到你头上。
    还是小心为好。
    eason1874
        2
    eason1874  
       152 天前
    你认为这是一个蜜罐

    黑产认为这是一个跳板机
    ppbaozi
        3
    ppbaozi  
    OP
       152 天前
    @eason1874 😏目前没有被跳板迹象
    ppbaozi
        4
    ppbaozi  
    OP
       152 天前
    @felixcode 有道理,我多关注一下,我可以让它所有流量走留学
    crab
        5
    crab  
       152 天前
    win7 补丁打全了?
    ppbaozi
        6
    ppbaozi  
    OP
       152 天前
    @crab 无补丁的原版 iso
    v2tudnew
        7
    v2tudnew  
       152 天前
    把 IP 也放上来,让大伙帮你测试一下。
    ppbaozi
        8
    ppbaozi  
    OP
       152 天前
    @v2tudnew 那有点不敢,毕竟这里都是大佬
    jaycong2019
        9
    jaycong2019  
       152 天前 via Android
    哈哈,坐等更新
    cjpjxjx
        10
    cjpjxjx  
       152 天前 via iPhone
    第二天,因楼主家的 IP 被用于发布反动言论被警察带去喝茶
    xupefei
        11
    xupefei  
       152 天前 via iPhone
    目前已知的 uac bypass 机制不知道还有没有能用的,有的话你的防火墙规则肯定是守不住的。
    GPLer
        12
    GPLer  
       152 天前
    《空 手 套 病 毒》 XD
    chenjunqiang
        13
    chenjunqiang  
       152 天前
    已经中了勒索病毒了吧?我前阵子刚看到这个界面。哈哈,我也中了。
    ladypxy
        14
    ladypxy  
       152 天前
    win 的 user 权限大的多,楼主这是作死。。
    maskerTUI
        15
    maskerTUI  
       152 天前
    能放 ip 吗,我进去提个权
    nutting
        16
    nutting  
       152 天前
    打到 xxx
    jasonyang9
        17
    jasonyang9  
       152 天前
    没打补丁的话你这些防御手段是不可靠的啊,因为有漏洞
    czfy
        18
    czfy  
       152 天前
    没想到 wetransfer 还能被这么用..
    jasonyang9
        19
    jasonyang9  
       152 天前
    弄一台 Linux 装了 RDP 服务端像这样暴露出去是怎样的情形?
    RDP 默认 3389
    root 密码超复杂
    admin 帐号,无密码
    本机防火墙和路由器防火墙 2 道关卡
    呵呵
    Felldeadbird
        20
    Felldeadbird  
       152 天前
    不怕 0day 提权吗?
    jiangyang123
        21
    jiangyang123  
       152 天前
    最好单独放一个独立网络下面,要不把你局域网其他设备攻击了
    jiangyang123
        22
    jiangyang123  
       152 天前
    真想玩其实应该去开一台 vps
    Greenm
        23
    Greenm  
       152 天前
    网络上的大部分是自动化脚本和病毒,只有普适性没有针对性,如果你把 IP 发出来让大家手工上去看,分分钟就没了。
    zerohzd
        24
    zerohzd  
       152 天前
    不打补丁,内网映射公网。你这也太看不起各种提权漏洞了吧
    mscsky
        25
    mscsky  
       152 天前
    要被内网漫游了
    kokutou
        26
    kokutou  
       152 天前
    user 可能会有提权的。。。
    BeautifulSoap
        27
    BeautifulSoap  
       152 天前
    @Felldeadbird LZ 这虚拟机何德何能值得让黑客用 0day 漏洞来攻击他啊
    ppbaozi
        28
    ppbaozi  
    OP
       152 天前
    @BeautifulSoap 估计看了硬盘空空如也都退出登录了...
    systemcall
        29
    systemcall  
       152 天前
    试一下这样做:
    开个虚拟机,CPU 型号写个老点的奔腾,内存 4G ,填充一些随机生成的 excel 表格,假装是台办公用的电脑
    还要虚拟一个打印机,这个 CUPS 随便弄弄就好,假装是真打印机,不需要可以打出来东西,只需要让脚本小子以为是台打印机就好
    办公电脑多一点。内存方面可以用内存交换,反正也不是你用
    假装有台电脑配置失误,公网 IP 出去了。这台电脑就是你的这个电脑。上面放一些办公软件,比如 winrar.rar ,还有梯子
    jackmod
        30
    jackmod  
       152 天前
    吓得我赶紧检查了一下吃灰派的安全措施
    shyrock
        31
    shyrock  
       152 天前
    所以 windows 远程桌面有没有办法加入二次验证呢?
    codingadog
        32
    codingadog  
       152 天前
    坐等楼主被日穿(手动狗头

    万一遇到一个牛逼的透出虚拟机环境了就凉了
    Reficul
        33
    Reficul  
       152 天前   ❤️ 1
    虽然概率不大,但是 0day 虚拟机逃逸的话,就被日穿了
    ppbaozi
        34
    ppbaozi  
    OP
       151 天前
    有情况,我在公司 ping 不通家里了,有点小慌了🌚
    reiji
        35
    reiji  
       151 天前 via Android
    完结撒花
    ppbaozi
        36
    ppbaozi  
    OP
       151 天前
    问题不大,看起来是家里停了一次电
    cuicuiv5
        37
    cuicuiv5  
       151 天前 via Android
    有意思,可以拿 vps 玩一下
    0lobster0
        38
    0lobster0  
       150 天前
    坐等 lz 更新
    zong400
        39
    zong400  
       150 天前
    什么时候更新
    ppbaozi
        40
    ppbaozi  
    OP
       149 天前
    @zong400 已更新
    zong400
        41
    zong400  
       148 天前
    @ppbaozi 没中挖矿病毒?不应该啊
    ppbaozi
        42
    ppbaozi  
    OP
       148 天前
    @zong400 单核没显卡能挖个啥
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2543 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 08:24 · PVG 16:24 · LAX 01:24 · JFK 04:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.