V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tengxunkuku
V2EX  ›  分享发现

内网穿透导致电脑中勒索病毒

  •  
  •   tengxunkuku · 34 天前 · 4033 次点击
    这是一个创建于 34 天前的主题,其中的信息可能已经有所发展或是发生改变。
    在公司电脑上开了远程桌面内网穿透,今早一起来发现电脑被加了密码,我的电脑都是不设置密码的。试了几次没试对,用 PE 去除了密码,进去之后就是被勒索的壁纸,文件都被加密了,还好大部分文件都在 OneDrive 。当时大概看了一眼,好像试了 2000 多次,把我的用户名试出来了。后续还是不开端口,用 vpn 安全一些。
    38 条回复    2024-10-30 11:10:10 +08:00
    mydebug
        1
    mydebug  
       34 天前
    你用什么开的穿透? nps 吗?
    llxvs
        2
    llxvs  
       34 天前 via iPhone   ❤️ 1
    通過 RDP 連結的嗎?不設置密碼不是不能遠程 RDP 嗎?
    brader
        3
    brader  
       34 天前
    你是不是用了弱密码导致的啊?
    我之前用了很长一段时间 FRP 内网穿透开启远程桌面,一开始用的 STCP+电脑弱密码,没出过事。
    后来有些场景客户端不方便安装 FRP ,我就改回 TCP 模式+windows 远程账户强密码+本地 pin 码弱密码,也用的挺好的。
    cccer
        4
    cccer  
       34 天前
    应该还是 ipv4+3389 端口,这组合没有被爆破才奇怪。我强密码都不敢直接暴露远程桌面。
    BadFox
        5
    BadFox  
       34 天前
    rdp 你都敢暴露在公网?属实有点牛逼了。
    mystrylw
        6
    mystrylw  
       34 天前
    之前干过一样的蠢事,我还改了端口做的 frp 转发,一样被疯狂扫描。
    老哥真厉害,3389 就敢直接暴露了
    liuzimin
        7
    liuzimin  
       34 天前
    @llxvs 我也好奇这一点。
    kera0a
        8
    kera0a  
       34 天前 via iPhone
    真应该把内网穿透哥 at 进来看看
    kokutou
        9
    kokutou  
       34 天前
    系统不更新的? 有 rdp nday 漏洞吗
    bzw875
        10
    bzw875  
       34 天前
    不知者无畏,要是我估计要被辞退,如果公司信息泄密要吃官司
    linghan
        11
    linghan  
       34 天前
    密码都不设,直接内网穿透暴露出去,勇士
    Aixtuz
        12
    Aixtuz  
       34 天前
    “我的电脑都是不设置密码的”
    ...

    很多时候,习惯比技术更能影响安全。
    n2l
        13
    n2l  
       34 天前   ❤️ 2
    1. 没有精神洁癖的话,用向日葵,否则
    2. 用 tailscale ,改下防火墙上规则,3389 端口只允许 tailscale 的网段进入,具体参考 https://tailscale.com/kb/1095/secure-rdp-windows
    AS4694lAS4808
        14
    AS4694lAS4808  
       34 天前 via Android
    我司办公电脑被扫描到开了内网穿透,会发 Urgent 邮件通报到部门老大 (别问我怎么知道的)
    n2l
        15
    n2l  
       34 天前
    @n2l 如果 tailscale 没有直连的话,还可以自建 derp ,爽的一批。
    dna1982
        16
    dna1982  
       34 天前
    FRP 也有安全机制啊。
    你不会 FRP 也不设置验证,RDP 也不设置验证吧?那你也太牛了。
    yufeng0681
        17
    yufeng0681  
       34 天前
    你还要留意一下,同事的电脑是不是也中了勒索病毒。到了局域网里,一堆机器可以黑
    zhtyytg
        18
    zhtyytg  
       34 天前
    @n2l #13 +1 ,目前也是这两个方案并行。因为有时候 tailscale 会蜜汁访问不上(盲猜是护网),向日葵国内会稳定点
    cat9life
        19
    cat9life  
       34 天前
    电脑不设密码是什么操作~
    liuzimin
        20
    liuzimin  
       33 天前
    @n2l 用了 tailscale 为啥还需要加防火墙规则?
    liuzimin
        21
    liuzimin  
       33 天前
    @AS4694lAS4808 这个是如何扫描到的?
    glcolof
        22
    glcolof  
       33 天前
    自己有公网服务器的话,也可以试试 n2n ,与 tailscale 一样组建虚拟局域网,但是不依赖任何其他人,安全性是相对较高的。
    n2l
        23
    n2l  
       33 天前 via iPhone
    @liuzimin tailscale 连上后电脑会多出个适配器,该适配器的网段是 tailscale 特有,防火墙设限的目的是限制接入的 IP 网段,限制只在 tailscale 网段内的计算机才能通过 RDP 进入该电脑,即要想远程本地电脑只能双方都挂 tailscale 客户端,而且你跟其他 tailscale 用户是互相隔离的,即挂了 tailscale 客户端的其他人也是进不去你的电脑的,所以 3389 端口不变也安全了。
    n2l
        24
    n2l  
       33 天前 via iPhone   ❤️ 1
    @zhtyytg 应该是是不直连导致的,我在自家路由器上自建了 derp ,很幸福。
    zhangeric
        25
    zhangeric  
       33 天前
    前几天也有这样的贴子 ,里面有个中山大学的连接,可以给 rdp 加上 optp 密码.防止密码给试出来.当然最好的方式还是再安全策略里加上重试次数和时间限制.
    只找到了 https://inc.sysu.edu.cn/article/1050 这个连接
    hewitt29
        26
    hewitt29  
       33 天前
    不设置密码远程桌面是咋连上的。。
    bigshawn
        27
    bigshawn  
       33 天前
    @hewitt29 在策略组可以改
    tengxunkuku
        28
    tengxunkuku  
    OP
       33 天前
    统一回复,不设置密码需要更改组策略,从而启用远程连接。FRP 穿透的是大端口,也怪自己大意了,以为网络威胁离我们很远,实际上公网上脚本不停的在扫描。后续打算 openvpn 连到家里的公网从而组网,或者借用 rustdesk ,不会再直接暴漏端口。我的邮箱微信都在上面,一阵后怕。
    allpass2023
        29
    allpass2023  
       33 天前
    @cccer

    公网 IP+3389 端口,我用了十多年没出过事。

    Win2000 的时候是可以无密码的,随便就可以扫到一堆出来。 完全想不明白 OP 特意改为空密码是为什么。
    mimizi
        30
    mimizi  
       33 天前
    @glcolof n2n 的打洞能力感觉比 wireguard 强太多了。wireguard 我只当 backup 。主力还是 n2n
    hmxxmh
        31
    hmxxmh  
       33 天前
    吓得我赶紧关了 frp
    Damn
        32
    Damn  
       33 天前
    @BadFox rdp 换端口没问题,我高位端口跑了六七年了也没事,前两年勒索病毒流行起来的时候改成 VPN 了。rdp+公网 3389 才是问题。。
    frankfnck
        33
    frankfnck  
       33 天前 via iPhone
    建议用 ipban ,并且开启关于密码登陆的组策略,已经开了很多年了,没出过问题。
    wolfsun
        34
    wolfsun  
       33 天前
    “导致”,呵呵,逻辑一片混乱,以后你也一定会再遇到更多安全问题的
    skull
        35
    skull  
       33 天前 via iPhone
    老牛逼了,这是公司的福气
    xiaoheicat
        36
    xiaoheicat  
       33 天前 via iPhone
    跟我经历一样,赶紧配合 it 做排查吧,

    这个内网传播的多了公司可能要追责的!
    BadFox
        37
    BadFox  
       33 天前
    rdp 这种高危协议暴露在公网是一种非常欠妥的考量,危险程度比弱密码低,比不改端口高。诚然你改改端口可以解决大概 60%的公网自动渗透 bot ,但是 rdp 本身就出过不止一次漏洞,如果不爆破直接针对你的协议攻击呢?比如经典款 CVE-2019-0708 。
    AS4694lAS4808
        38
    AS4694lAS4808  
       32 天前
    @liuzimin 办公电脑都要加域+一大堆监控软件
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2708 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 07:42 · PVG 15:42 · LAX 23:42 · JFK 02:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.