V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jjrhlb
V2EX  ›  信息安全

自用电脑中了勒索病毒!

  •  
  •   jjrhlb · 24 天前 · 4588 次点击
    今天早晨到了公司,习惯性的远程家中的电脑(家中挂魔法使用 ChatGPT+摸鱼),发现中了勒索病毒,文件都被加密了,我的电脑是裸奔的,临时下了一个火绒扫到了病毒文件;这时候很怕波及到工作电脑,想溯源看一下是哪里出了问题。

    搜索了一下这种情况基本都是 RDP 爆破导致的,文件的加密时间是凌晨 3 点,查看 windows 系统日志发现 2:57 有 RDP 连接记录,但是记录的源网络地址是: 127.0.0.1 ,不是组网 ip 或者局域网 ip ,应该是映射到的,此时虽然还不知道是哪个软件出了问题,但是应该是不会波及到工作电脑了,还是心安了一些。

    在查看 windows 系统日志我也发现了一个问题,我并没有看到登录失败的报错,虽然我的密码很简单(图方便:1111 ),但真的一次就连上了吗,此处待定。上面确定是域名映射到了本地的 3389 端口,回想了一下我使用的映射应该只有 zeronews 和 cloudflared ,可能是官网被爆破了?未知,最后还是没有锁定问题。

    最后,已老实。以后会使用强度更高的密码,使用大厂背书的软件。
    大家有什么可以进一步溯源或者安全方面的建议吗?
    57 条回复    2024-10-22 22:08:26 +08:00
    wuud
        1
    wuud  
       24 天前
    127.0.0.1 是本机 IP ,通过描述猜测可能是把家中电脑端口转发到公网 IP ,导致主机密码被爆破。
    可以通过查看端口转发或服务器日志,2:57 分有哪个 IP 连接了
    一般的防护方法就是更改默认用户名,使用强密码,不对外映射端口或使用白名单策略,可以但不建议安装杀软
    Tamio
        2
    Tamio  
       24 天前
    你是有公网 IP 吗? 用的是 windows 远程桌面还是别的什么方案?
    lizy0329
        3
    lizy0329  
       24 天前
    前阵子才中了,公司测试环境全崩
    loocao
        4
    loocao  
       24 天前
    @Tamio #2 127.0.0.1 连接 RDP ,应该是被什么软件装了后门,把 3389 端口转发到某个公网 IP 了。
    如果是有公网 IP 直接连接 RDP ,windows 系统日志里面看到的就是对方的公网 IP 了,而不是 127.0.0.1 。
    someonesnone
        5
    someonesnone  
       24 天前
    我已经把 3389 改成别的端口了,,, 不知道有没有更强的防护作用
    idragonet
        6
    idragonet  
       24 天前
    映射公网肯定开 IP 白名单的。
    liuzimin
        7
    liuzimin  
       24 天前
    我以前用 cpolar 做的内网穿透,也中招过一次。当时密码设得贼简单:test123456 。中招后只看了下杀毒软件报的毒叫 neshta 。然后情急之下也没管什么溯源了,直接就重装系统了。。。

    从此不敢再用这种内网穿透方案(虽然知道问题主要是弱密码+3389 ),后改用 tailscale 了。
    jjrhlb
        8
    jjrhlb  
    OP
       24 天前
    @wuud 感谢老哥,那我回去再定位一下,还是想确定是哪个服务出的问题
    jjrhlb
        9
    jjrhlb  
    OP
       24 天前
    @loocao 嗯是的了
    jjrhlb
        10
    jjrhlb  
    OP
       24 天前
    @lizy0329 公司千万小心,自己的电脑还行 回去重装下
    jjrhlb
        11
    jjrhlb  
    OP
       24 天前
    @someonesnone 应该是有的吧,重装之后我也修改下
    jjrhlb
        12
    jjrhlb  
    OP
       24 天前
    @liuzimin 你这么一说,我也是挂着 cpolar 的,不会是这个吧😭发布到公网确实危险,重装以后老老实实用 组网工具了
    jjrhlb
        13
    jjrhlb  
    OP
       24 天前
    @idragonet 嗯确实,公网的话确实还是非常需要开白名单的
    yinmin
        14
    yinmin  
       24 天前 via iPhone
    @someonesnone #5 rdp 改端口没有用的,放公网几天就被盯上不断的攻击了。rdp 最妥当的方式还是先 vpn 再 rdp
    MFWT
        15
    MFWT  
       24 天前
    建议还是套一层 VPN ,久经考验的 VPN (包括但不限于 Tailscale 那种底层调用成品 VPN 的)安全性,多多少少会比某个小软件好一些
    MFWT
        16
    MFWT  
       24 天前
    而且 1111 这种密码基本上就是各大密码库常客了,和 123456 不分伯仲
    jjrhlb
        17
    jjrhlb  
    OP
       24 天前
    @MFWT 本来是用的组网工具,后来暴露在公网上了确实应该换个密码的😭
    a1210968738
        18
    a1210968738  
       24 天前 via Android
    几年前的电脑也是开了 rdp 到公网中了勒索病毒文件全加密了,有没有 v 友知道这么多年了是否有可能解密回来?😂
    proxytoworld
        19
    proxytoworld  
       24 天前
    估计是自动加密的,黑客没有专门看你电脑,不然你公司电脑也会被感染
    proxytoworld
        20
    proxytoworld  
       24 天前
    @a1210968738 看什么家族吧,老美弄过解密工具应该是,部分家族可以解密
    hez2010
        21
    hez2010  
       24 天前   ❤️ 5
    参考 https://inc.sysu.edu.cn/article/1050 ,给 RDP 加个 2FA 解决一切问题。

    不知道为啥虽然 Windows 提供了远程登录的 2FA 接口,却没有内置 2FA 的实现。
    guanzhangzhang
        22
    guanzhangzhang  
       24 天前
    frp 这类端口映射工具就是这样阿,你把端口暴漏出去就是众生平等了,还不如自建软件组内网,三层 IP 层都通了,四层的端口就不需要加映射了
    bouts0309
        23
    bouts0309  
       23 天前
    可以用 wg 套一层?
    creepersssss
        24
    creepersssss  
       23 天前
    不建议端口转发,做一层 VPN 最安全也最正规
    datocp
        25
    datocp  
       23 天前 via Android
    搜索一下有个叫 iptables recent hacker ,后来 openwrt 有 ipset 就改成这样了
    -A INPUT -i eth1 -m set --match-set banned_hosts src -j DROP
    -A INPUT -i eth1 -p udp -m multiport --dports 80,161,1863,4466,5060 -j SET --add-set banned_hosts src
    -A INPUT -i eth1 -p tcp -m multiport --dports 20,23,25,110,135,137:139,161,445,1080,2323,3128,3306,3389 -j SET --add-set banned_hosts src

    softether 提供的 vpn 肯定必须的

    至于电脑乱按软件导致的特洛伊木马,那是无解的,simplefirewall 伺侯。
    ltkun
        26
    ltkun  
       23 天前 via Android
    这年头为啥不试试放弃 windows 这种系统 有啥离不开的理由吗
    harmless
        27
    harmless  
       23 天前 via iPhone
    @ltkun mac 和 linux 也不是更好的选择啊
    Avafly
        28
    Avafly  
       23 天前
    我用 fps 做的内网穿透, 高端口号, uuid 密码, 用 tls 加密流量. 用了两年了都挺好的.
    zhuang0718
        29
    zhuang0718  
       23 天前 via iPhone
    我把家里 NAS 的 docker 也映射了公网端口 看的我不敢开了……
    privater
        30
    privater  
       23 天前
    @zhuang0718 这些鸟人不一定有加密 nas 文件系统的水平,用 Windows 的小白遍地走,从性价比角度出发也是针对 Windows 开发勒索软件来得“实惠”
    zhangeric
        31
    zhangeric  
       23 天前
    不知道用的啥系统,以前配置过 windows server,可以配置远程连接重试次数,密码错误了,可以锁定该账号登录 1 小时,另外把常用的账号 administrator 给禁了,换一个不常见的账号做管理员.
    Davy
        32
    Davy  
       23 天前
    为啥裸奔? Windows Security 不好用吗?
    xxmaqzas
        33
    xxmaqzas  
       23 天前
    国庆前公司中招了,nas 和 svn 全给加密了,得亏有备份,自己电脑有火绒,躲过一劫
    xiaoheicat
        34
    xiaoheicat  
       23 天前 via iPhone
    今年公司电脑因为 rdp 中过一次勒索病毒。原因是自己图方便把 3389 直接暴露公网了,换了高位端口也没用,而且密码也是中英文加数字的组合密码。

    只能说 windows 的安全策略还是太垃圾,远程桌面错误不限制能一直尝试就很有问题!!!
    mac Linux 都有一些安全手段冷却的

    后面重刷系统后换 tailscale 了
    ShinichiYao
        35
    ShinichiYao  
       23 天前   ❤️ 1
    现在哪有什么黑客吃饱了攻击个人或者小企业用户,都是脚本小子撒网式攻击,网络安全别太拉跨(默认用户、超简单密码,暴漏洞的现成框架,一键脚本)都不会有事
    cleanery
        36
    cleanery  
       23 天前
    @xiaoheicat

    这个没用吗?
    JKOR
        37
    JKOR  
       23 天前
    不能直接暴露在公网,可以使用 cloudflare tunnel
    keyfunc
        38
    keyfunc  
       23 天前
    @xiaoheicat 可以限制啊
    conglovely
        39
    conglovely  
       23 天前   ❤️ 1
    lightionight
        40
    lightionight  
       23 天前
    rdp 远程公网建议加一一个 2FA , 比如 DUO
    jjrhlb
        41
    jjrhlb  
    OP
       23 天前
    这个不优选直接使用有点子小卡的
    jjrhlb
        42
    jjrhlb  
    OP
       23 天前
    @JKOR 这个不优选直接使用有点子小卡的
    a1210968738
        43
    a1210968738  
       23 天前 via Android
    @proxytoworld 有什么参考资料吗?我去了解一下😄
    yiton
        44
    yiton  
       23 天前
    你这和我疫情那阵的遭遇差不多,我房间有个上网本用来看片的,有次传东西开了 dmz 忘记关,密码是 1234 ,晚上看片的时候莫名经常登出,第二天才发现电脑被爆破了,桌面上多了一堆脚本小子用的工具,估计那小子看我电脑性能很差,就没搞了
    sss15
        45
    sss15  
       23 天前
    我以前 frp 把工作电脑放到公网上,弱密码 1 也是裸奔不装任何杀毒软件,然后也是被加密勒索了,后来就老实了,现在不敢把电脑放到公网了,装了 360 ,密码也不再是 1 了
    Dukec
        47
    Dukec  
       23 天前
    裸奔?连微软自带的 Defender 防病毒都没开吗?
    obeykarma
        48
    obeykarma  
       23 天前
    macos 保平安
    jjrhlb
        49
    jjrhlb  
    OP
       23 天前
    @sss15 我现在是组网工具+火绒了,已老实
    jjrhlb
        50
    jjrhlb  
    OP
       23 天前
    @Dukec 被我关了,属于是真*裸奔,一次就长记性了
    way2create
        51
    way2create  
       23 天前
    我都是用 tailscale 或 zerotier 或 radmin vpn 这种打通了再连 rdp 的应该没事吧
    我路由都没设置端口转发也没用什么暴露到公网的内网穿透
    jjrhlb
        52
    jjrhlb  
    OP
       23 天前
    @way2create 这样没事的,我是 zerotier 被公司 ban 了、tailscale 延迟高才没用这个方案
    xiaoheicat
        53
    xiaoheicat  
       23 天前
    @jjrhlb #52 可以自建 tailscale 的中转节点啊,比较稳
    xiaoheicat
        54
    xiaoheicat  
       23 天前
    @cleanery 系统是 win10 的,安全策略一直没配置过,机器到手了就直接用了
    ltkun
        55
    ltkun  
       21 天前   ❤️ 1
    @harmless #27 可能有洁癖吧 电脑和手机都希望可以代码公开自己编译 闭源软件系统默认有后门
    harmless
        56
    harmless  
       21 天前
    @ltkun 那这成本可高多了
    Autonomous
        57
    Autonomous  
       17 天前
    任何时候都不要使用弱密码
    不用 3389 端口,改用其他高位端口
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2016 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 16:14 · PVG 00:14 · LAX 08:14 · JFK 11:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.