一台旧 windows 电脑放在公司用 frp 暴露在公网上,弱口令,方便平时在外远程
今天早晨发现路由器网络有异样,登录查看日志,发现很多 frp 登录记录
立即警觉,发现那台旧 Windows 密码被改了,赶紧断网,找回密码
登录进去后发现 在系统 Picture 文件夹被人新建了一个名为 FAT 的文件,里面放了一堆密码查看的工具
有一个查看 Chrome 密码记录的软件是打开的,我平时常用网站的密码应该都泄露了,苹果、QQ 、淘宝、京东...
他还扫描了局域网内其他的电脑,用我 Chrome 里面的密码尝试登录其他电脑(应该没有成功)
求助各位大佬,目前这种情况有哪些风险,如何减小密码泄露带来的损失呢
第 1 条附言 · 2 小时 59 分钟前
刚才发现旧 Windows 里 Windows Defender 被禁用了
所有 exe 文件的"修改时间"全部变成 被入侵的时间了,被种了木马, 准备全部格了重装
所有 exe 文件的"修改时间"全部变成 被入侵的时间了,被种了木马, 准备全部格了重装
68 条回复 • 2024-11-26 17:43:12 +08:00
 |
1
maxwellz 5 小时 28 分钟前  1
把 chrome 的密码导出来,先把一些优先级高的密码改了
|
 |
2
huaxing0211 5 小时 26 分钟前 1
弱口令是大问题,当然 frp 开启远程桌面是强烈不建议使用简单的 tcp 模式的,容易爆,而应该是 stcp+xtcp ,自带复杂的 secretKey ,端口也不暴露,本机使用“127.0.0.1:端口号”来登录,甚至可以使用“allowUsers ”来进一步的简单限制登录者!
|
 |
3
NGGTI 5 小时 20 分钟前 1
先重装所有电脑吧,修改所有密码。不要有侥幸心理。
|
 |
4
deepbytes 5 小时 18 分钟前 via iPhone 1
备份重要数据,格式化旧 windows ,使用微软账号登陆,配合强密码
重要帐户修改为高强度密码后启用双因素认证 后续,使用密码管理工具,禁用 chrome 密码管理 Frp 如果要继续使用,修改认证密码,在 rdp 上套个 ssh 吧 |
 |
5
Byleth 5 小时 16 分钟前
你是把 3389 暴露在公网了?
|
|
6
Byleth 5 小时 15 分钟前
估计直接把 cookie 全偷走了吧,要是有某些不支持改密码后下线所有设备的服务,改密码也没用了
|
 |
7
yinmin 5 小时 12 分钟前 via iPhone 2
赶紧把所有密码都改了,要快。被黑的电脑要格掉重装。
frp+rdp+弱口令=作死三件套,很多人中招,甚至企业被黑,违反规定私设 frp 的员工被送进局子。 现在网络上盲扫 rdp ,登录后加锁文件勒索比特币,已经成黑产自动化一条龙了。 重要的事情说三遍:rdp 不要直接暴露在公网上,rdp 不要直接暴露在公网上,rdp 不要直接暴露在公网上。 |
 |
8
frankilla 4 小时 57 分钟前
chrome 密码明文,因为这个我就完全不用它保存。
|
 |
9
totoro625 4 小时 34 分钟前 1
旧电脑属于可信认环境,基本上所有账户,和关联账户都丢权了
所有账户都有可能被盗,公司内部其他电脑使用弱密码的也可能被入侵 后续入侵不像是自动化入侵的,应该是有个人主动操作的 报警吧,个人能力解决不了的 |
 |
11
xuanbg 4 小时 13 分钟前
在公司用 frp 简直就是作死。在 V2 上经常有人问怎么在公司开 frp 远程操作公司的电脑,实在是无法理解这种行为。不是,你图啥啊
|
|
12
deepbytes 4 小时 8 分钟前 via iPhone 1
再读题干,楼主是不是觉得方便,私自搭建 frp 后,实现公网环境下远程连接自己的旧电脑,做一些公司的事情,这样可以不带电脑回家办公…
访问公司内部系统,很可能公司内部 VPN 客户端也在这台旧电脑上,那就一窝端了… |
 |
13
somebody1 3 小时 52 分钟前 1
我记得有很多帖子,很多人为了方便,就来问跟楼主这样方便一点的方法有没有,大家都是劝诫为主,这个帖子导致这个结果真的是不意外。
我唯一意外的是,frp 暴露在公网,为什么还要弱口令?长一点的好记一点的密码很多吧,另外就是你都弱口令了,为什么还要 chrome 还要记录自己的密码? 还有一点就是,你全篇没有确认黑客有没有横向移动,这种情况下报警+请网络安全公司过来做个服务支撑是最好的。即使你改了密码,黑客横向移动之后也可以想办法回连自己,你们公司的资产就一直在黑客的掌控下了。 |
 |
14
mdb 3 小时 44 分钟前
我是家里的电脑装 frp ,可以从公司远程回去,frp 服务端部署在腾讯云上,远程的端口限制了只能公司 IP 和家里 IP 访问,不知道这样安不安全
|
 |
15
cjban 3 小时 37 分钟前
我司上周刚被勒索了,数据库没有备份,最后花钱找的解密公司解密。
这件事中令人难以置信的是程序员电脑竟然没有设密码= = |
 |
16
james122333 3 小时 36 分钟前 via Android
心是真的很大 安全机制上完全过不了关 还用 windows 并且私密东西放上面那就...
|
 |
18
seanxx 3 小时 32 分钟前 1
感觉你要进局子
|
|
19
james122333 3 小时 30 分钟前 via Android
远程开放并且可偷的东西都放上面
搞不懂这是什么操作 既然是远控 你身边手裏的机器才是管理员 顶多相互保证 |
 |
20
onikage 3 小时 29 分钟前 1
公网弱口令就别说了,下次吸取教训吧。
|
 |
21
joyhub2140 3 小时 23 分钟前 1
没杀毒软件嘛?这些密码查看工具应该很容易识别吧,就是 Windows defender 都能干掉不少间谍泄密软件。
|
 |
24
zgzhang 3 小时 9 分钟前 1
@alan9999 做安全的人真的觉得你这种行为该死呀,如果是专业一点的话,需要最几件事情:
1. 首先所有系统全部更改密码,并且查看关键系统的登录记录 2. 老旧的 windows 马上重装 3. 如果有日志的话,根据日志判断失陷主机的过往扫描范围,如果可以这些主机全部重装 另外如果你这种行为,发生在一个关注安全的大型公司,大概率要被开除,所以后续不要搞骚操作了 |
|
25
james122333 3 小时 6 分钟前 via Android
|
|
29
james122333 3 小时 1 分钟前 via Android
|
|
30
zgzhang 2 小时 53 分钟前 1
@alan9999 现在有很多公网的攻击面测绘工具,比如 fofa 、鹰图可以快速找到把服务开在公网的 frp 服务,你是最傻的一种,用了弱密码,你这种开上两天我估计能进来几波不同的人,即使是强密码,你能确定 frp 没有漏洞吗,至于怎么做,搞个 VPN 不好吗,方便是方便了,出个事会死人的,我见过一个判刑的 case ,操作跟你一样,只不过他运气比较差,通过这个跳板连接了业务数据库,然后非常多的数据被加密勒索,最后就是三年
|
|
31
zgzhang 2 小时 51 分钟前
|
 |
32
villivateur 2 小时 47 分钟前 1
出了说一句“活该”,以及赶紧重装系统改密码以外,还能说什么呢?总不能跟你们老板自曝说你们公司的机密可能因为你被泄露了吧。
|
 |
33
coolloves 2 小时 47 分钟前
非 administrator ,加十几位密码,然后 frps 上脚本定时检查,有爆破的 ip ban 掉.一般问题不大吧
|
 |
34
cominghome 2 小时 46 分钟前
远程值守为啥不考虑 TeamViewer 这样的软件,哪怕装个国产向日葵呢?
|
 |
35
wheat0r 2 小时 45 分钟前 1
我觉得 frp 只适合暴露对外提供的服务,自用服务就根本不该用 frp 。
别的都没什么可说的了。 |
 |
36
jaylee4869 2 小时 44 分钟前 2
Tailscale 无论是便捷程度和安全性都完爆 frp 。
|
 |
37
dbak 2 小时 41 分钟前 1
人家 frp 都提供了安全的暴露内网服务的方式 用 stcp 或者 sudp 你这直接暴露在公网还弱口令 还是公司内网 公司安全部门要是查出来 给你开了都活该
|
 |
38
alan9999 OP @joyhub2140 Windows defender 应该是被第一时间关闭了
|
 |
39
huangsijun17 2 小时 31 分钟前 1
个人建议,试试看 RDP over SSH 。微软给了 OpenSSH 的官方支持,预装客户端,选装服务端。使用秘钥验证的话,基本不可能有爆破的可能了。你 FRP 反代 SSH 的 22 端口出来,连接时使用 ssh 自带的端口隧道映射 3389 到本机,再去远程桌面链接。
|
|
40
Byleth 2 小时 27 分钟前
@jaylee4869 确实,还是零信任来的安全,除非 ts 自己爆漏洞
|
|
41
cjban 2 小时 26 分钟前
|
 |
43
hafuhafu 2 小时 23 分钟前
经典操作,而且还经常能在 V2 上面看到。实际上既不方便,也不安全。
密码泄露改密码完事,有些网站能注销会话的顺手注销一下。对你个人而言影响其实不算很大。 你得庆幸公司没出啥问题。 |
 |
44
Satansickle 2 小时 20 分钟前
@yinmin 是啊,我就中过招,现在 rdp 只敢走 v6 连接,v4 坚决不敢暴露,另外部署好 ipban+强用户名+强口令+跟随更新,两三年没被扫过了。
|
 |
45
ShinichiYao 2 小时 10 分钟前
administrator 用户?我觉得除非 rdp 自身漏洞,不是默认用户名哪怕爆破连用户名都很难猜出来
|
 |
46
noyidoit 2 小时 10 分钟前
公网、弱口令、公司、横向*应该*没有成功......欢迎收录至“你见过在工作中捅过最大的篓子是什么”
|
 |
47
user100saysth 2 小时 8 分钟前 1
你唯一应该感到庆幸的是,现在很多网站自带二次动态验证,没验证码根本登不上
|
 |
49
x86 2 小时 0 分钟前
公司开 frp 可厉害了
|
 |
51
fugu37 1 小时 54 分钟前
@user100saysth #47 cookies 可以绕过登录直接操作账户
|
 |
52
fbichijing 1 小时 49 分钟前 1
有没有办法获取到远端连接的 IP ,溯源去搞他/她,如果没有跳板的话...
还是说,这种想法太天真了? |
|
54
alan9999 OP @ShinichiYao 不是 Administrator ,用户名也很弱,4 个字符,应该很容易猜出来
|
|
55
alan9999 OP @fbichijing 我看了登录记录,IP 很杂有韩国、香港、瑞士 苏黎世、西安,应该用了代理
|
 |
56
FawkesV 1 小时 31 分钟前
我是 Tailscale 感觉打洞成功 能够直联 也不卡的呢
|
 |
57
erxiao 1 小时 17 分钟前
@yinmin 您好,请问 frp 已经设置了 token ,并且 rdp 登录使用网络身份证(微软账号密码),这样子安全吗? rdp 不暴露的公网是什么意思呢
|
|
58
ShinichiYao 1 小时 15 分钟前
@sazima RDP 如果出 0day 肯定满世界头条新闻了,微软也绝对会第一时间补上漏洞,真手里有这等级的漏洞的人也不会拿来搞普通用户
|
|
59
yinmin 59 分钟前 1
@erxiao #57 如果您通过互联网 IP 访问远程桌面,那么远程桌面协议( RDP )就会暴露在互联网上。弱密码可能被黑客破解,而且如果微软的 RDP 出现零日漏洞,黑客同样可以利用。因此,建议使用更安全的 stcp 。
|
 |
60
guo4224 51 分钟前
还惦记自己 qq 呢?赶紧想想怎么跟你们老板交代吧。
|
 |
61
luis330 48 分钟前
那借楼问一下,我先 wireguard VPN 回服务器,服务器上起 frps ,然后再使用 frpc 通过 stcp 连接 VPN 的私网 IP ,风险如何?
主要使用的是 frpc 的 socks5 代理 插件功能。 |
 |
64
zuotun 26 分钟前 1
注意审题:如何减小损失,我觉得提桶跑路比较实在,运气不好可能就要被公司送进去了。
|
 |
65
superBearL 21 分钟前
公司的东西还是得小心,轻则丢几个密码,总则追责追到进局子
|
 |
66
chenbin36255 20 分钟前
@luis330 直接映射 wireguard 的端口 用 vpn 连回内网比较安全
|
 |
67
lesterchen 7 分钟前
我记得一个新闻,好像是小米还是哪家公司的员工就是像你一样内网穿透暴露到了公网,然后被黑了,最后进去了~
|
 |
68
hack2012 7 分钟前
记得把所有密码修改一遍
|
Select Language