看到隔壁在说开了 22 端口被各种扫,还有 3389 的,即便改了端口也没什么用,照样被扫,还有可能一天上千次的尝试登录。
其实我很不理解,他扫归他扫,他试归他试,对用户有什么影响?即便尝试了几千万次,不知道你密码有什么用?反正都是登不上,何必要管他们,放着不就完了?有什么影响?
也看到过有人说被黑了的,但这些无一例外都是弱密码导致的,和端口暴不暴露、协议安不安全没任何关系。
至于说“如果哪天 rdp/ssh 出现了漏洞,那直接中招”这种想法,rdp/ssh 已经发展了几十年,相关技术已经足够成熟,除非你机器系统过于老旧仍然使用远古版本,试问,现代 rdp/ssh 有哪些是由于协议漏洞而被黑了的?确实有很多的高危漏洞在不断被暴出来,我们公司也会要求升级 openssh 版本,但先不说这些漏洞的使用都是有前置条件的,即便满足了前置条件也做不到直接登录机器,更多的是某些加密算法强度不能满足现代化要求,又或者有机会出现中间人攻击。
如果希望纯利用漏洞来登录一台机器,往往需要多个漏洞相互配合。这么复杂的攻击显然不是扫端口这种广撒网的方式能成功的,这种程度已经是针对性攻击了。比如交易所/加密钱包被攻破被盗,这是已经被盯上了,大概率使用了人性的漏洞(钓鱼,弱密码,不安全的存储/传输方式,撞库),而不是安全协议本身有问题,包括各种远程访问协议,传输协议等,这些社工方式不在本帖考虑范围内。
对于 nfs, samba, ftp, telnet 这些东西,nfs 和 smb 本来就是内网用的,不应该暴露公网(即便如此,smb v3 和 nfs v4 都有加密协议); ftp 和 telnet 上古产物不考虑。至于其他的,比如宝塔面板,xx 面板出现大规模漏洞,这是第三方软件的事情,和 ssh rdp 本身无关。
以上只说 ssh 和 rdp ,只是感觉这俩东西足够安全(你的密码本身没有问题),完全不需要做其他额外的防护。
所以,请告诉我暴露这些端口的弊端有哪些?
第 1 条附言 · 9 小时 48 分钟前
看起来大家没有举出什么有效的例子,但仍然不会选择 rdp 。
为此,我开了一台 rdp 机器,默认设置,Administrator 不变,密码已修改为随机字符串,请大家尝试使用 rdp 连接系统,并拿到在桌面的 ssh 私钥文件,具体路径为 "C:\Users\Administrator\Desktop\key.txt",以下为对应的公钥:
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIFNmw9dDPMPY3GN1nY1ANX/bfH8rEliYsQHS2sfmLUt6 windows
第一个提供对应 key 的人,可获得 app store 100RMB 礼品卡(不直接发红包是因为考虑到双方都不想暴露身份),至于礼品卡的合规性不用担心,是用自己的卡买的,没有封号风险。
当然,如若真的攻破了该机器,还请不要做奇奇怪怪的事情,没必要,不如贴出私钥光明正大的领取 100 元苹果礼品卡。
=================
ip: 194.233.81.94
rdp port: 3389
以下截图可证明这台机器从 2024/12/03 到 2025/01/03 确实属于我(并不代表我不会提前删除机器,以防止有人真的攻破并做了些其他不可描述之事)
为此,我开了一台 rdp 机器,默认设置,Administrator 不变,密码已修改为随机字符串,请大家尝试使用 rdp 连接系统,并拿到在桌面的 ssh 私钥文件,具体路径为 "C:\Users\Administrator\Desktop\key.txt",以下为对应的公钥:
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIFNmw9dDPMPY3GN1nY1ANX/bfH8rEliYsQHS2sfmLUt6 windows
第一个提供对应 key 的人,可获得 app store 100RMB 礼品卡(不直接发红包是因为考虑到双方都不想暴露身份),至于礼品卡的合规性不用担心,是用自己的卡买的,没有封号风险。
当然,如若真的攻破了该机器,还请不要做奇奇怪怪的事情,没必要,不如贴出私钥光明正大的领取 100 元苹果礼品卡。
=================
ip: 194.233.81.94
rdp port: 3389
以下截图可证明这台机器从 2024/12/03 到 2025/01/03 确实属于我(并不代表我不会提前删除机器,以防止有人真的攻破并做了些其他不可描述之事)
28 条回复 • 2024-12-05 01:27:52 +08:00
 |
1
adoal 15 小时 47 分钟前
我自己管理的服务器从来不封或者改管理端口。但是遇到法人单位的中心机房在网关设备上封 22 和 3389 的,因为,各下属二级业务单位的信息化共用机房,我能把这些管理端口上的安全配置做好,但跟我用同一个机房甚至同一个网段服务器的其它单位,往往是没有技术部门的,负责信息化的是综合办公室里一个文科出身的副主任或者普通科员,一切都靠技术能力浮动范围很大的业务系统开发厂家来搞。然后导致很多 root 弱密码进入。所以管理部门一刀切了,我也没办法。
|
 |
2
uuair 14 小时 26 分钟前
我自己碰到的问题是日志增加的太快了,要是限制日志容量,那么可能会错过有用的信息。
而且,谁说自己的密码肯定没问题呢?你 20 位特别复杂的密码,也可能因为漏洞被扫出来啊,不可能每时每刻都打补丁吧,万一你就是那第一个被发现漏洞的机器呢?这就好比,你夜里 12 点会因为马路上没人而不穿衣服上街么? |
 |
3
ShinichiYao 14 小时 19 分钟前
主要是断了攻击者的念想,每天上万次来自世界各地的 IP 在盯着猜你的密码
|
 |
4
yeqizhang 14 小时 16 分钟前 via Android
占个楼问些问题🐶
不懂网络这块,有没有大佬解惑下,就是换了端口,除了 ssh 这种会响应明显的信息外,其它一些 tcp 服务在换了端口后是怎样识别到是什么服务来攻击的呢? 还有个问题,就是我有个 web 服务,如果不公开 path ,别人是不是就没法请求到这个接口? |
 |
5
ysc3839 14 小时 16 分钟前 via Android
一般认为 VPN 服务漏洞没那么多,而且就算有漏洞被攻破了,还得通过 VPN 去扫描别的服务,再进行进一步攻击才能拿到权限。如果说 VPN 服务存在远程代码执行漏洞,也可以用低权限用户运行来防范(不过这个方案不适用于内核模式实现的 WireGuard),而 ssh rdp 之类的,因为涉及用户登录,只能以高权限运行。
|
 |
6
jhytxy 14 小时 10 分钟前  1
前一阵不是 Debian 的 ssh 还出漏洞了你不知道?
这世界就是个草台班子 |
|
7
ysc3839 14 小时 6 分钟前 via Android
“现代 rdp/ssh 有哪些是由于协议漏洞而被黑了的”
搜索 rdp rce 就能找到 https://www.cnblogs.com/backlion/p/11482322.html |
 |
8
NevadaLi OP @uuair #2 日志还好吧,好几年也没上 GB
“而且,谁说自己的密码肯定没问题呢?” 想要确认自己的密码是否安全,chrome 就可以告诉你使用的密码是否有泄露。 “你 20 位特别复杂的密码,也可能因为漏洞被扫出来啊” 请举例哪些是密码设置了很复杂,系统不是古董,但由于漏洞被拿到登录权限的? |
|
9
NevadaLi OP @jhytxy #6 请具体列出 CVE 号码。我们公司也因为漏洞而升级 openssh ,恰好上月就升过,也看了漏洞详情,但就像我说的,这些漏洞的使用都有前置条件,即便满足了前置条件也做不到直接登录机器,更多的是某些加密算法强度不能满足现代化要求,又或者有机会出现中间人攻击。
@ysc3839 #7 这是 2019 年的漏洞,距离现在已经五六年了,对应 Windows 10 version 1909 ,该版本在 2021 年已经停止支持。如果现在还有人在用不受支持的 windows 远古版本,那我还能说啥?目前消费级系统里,受支持的系统为 Windows 11 version 23H2 ,如果你升级到了受支持的系统还有这漏洞,那当我什么都没说。  |
 |
10
aminobody 13 小时 17 分钟前
我喜欢 rdp over ssh, ssh 仅密钥, rdp 弱密码, 仅在公网暴露 ssh 端口.
|
 |
11
lambdaq 13 小时 9 分钟前
是这样的,没弊端。就好比如果你家里穷得一批,那么你锁不锁门无所谓的。
LZ 勇敢的向前冲。 |
|
12
uuair 12 小时 40 分钟前 1
@NevadaLi #8 请搜索:“3389 端口+输入法漏洞”
当年我用这个漏洞进入了无数台开了 3389 端口的机器,你还需要我免费提供劳动力给你证明么?这种案例太多了。 |
 |
13
chouxw112233 12 小时 20 分钟前
4 楼的问题我也想知道
tcp 端口是可以被扫的,只需要尝试握手就行了。但是协议那么多,难道只尝试常用协议吗? 比如 smb ,rdp ,ssh ,tftp ,ftp ,telnet ,http? 还有,协议是协议,实现是实现,可能 nginx 的 http 漏洞,别的服务端不存在。黑客的流程难道是扫到 tcp 8081 ,然后尝试 http 去访问,htto 建立成功了就尝试 nginx 漏洞? udp 是不是就安全许多? path 这个我也不清楚,我开了一个 nginx 服务,指定 test.example.com 才有我的服务,黑客有技术能扫到吗? |
 |
14
yinmin 11 小时 51 分钟前
ssh 仅密钥登录(禁用密码模式),毕竟这么多大佬公司都用 ssh ,应该问题不大。如果还需要加一次保护,可以 ssh over tls(也能过某些变态防火墙)
rdp 不敢直接暴露公网,因为 rdp 曾经出现了几次 0day 漏洞。建议: rdp over vpn rdp over ssh rdp over tls(双证书认证) rdp over frp(stcp) |
|
15
NevadaLi OP |
 |
17
ococnehc 11 小时 18 分钟前
@yeqizhang 其实和 ssh 密码字典类似,攻击脚本也有个类似与服务端口名单的表,里面填了比较常用的服务端口和对应的默认配置,然后用表里面的信息一个个试,所以只要你的端口不是默认配置,又没有任何常见回传,脚本没撞到,基本上是很安全的
|
 |
19
delacey 11 小时 13 分钟前
因为对安全的容忍度不一样,很多情况下大家需要更安全的 ssh
|
 |
21
Gitmeeri 10 小时 45 分钟前 via Android
尝试登录的都是针对弱密码的,试了那些常见字典库不行它们会自己离开。。。
|
 |
22
kenneth104 10 小时 29 分钟前
曝露了,就可以直接把你端口 dd 死
遇到过不少了 |
 |
23
fano 10 小时 29 分钟前
防火墙限制下源地址,比如禁止中国大陆以外访问。
|
|
24
NevadaLi OP @kenneth104 #22 ddos 是攻击,这东西无论什么端口都能被 d ,包括 80 443 ,照这么说机器都别放互联网了,都有可能被 dd 的。。。
|
 |
28
WhatTheBridgeSay 1 小时 30 分钟前
其实是为了减小攻击面,非常简单直接地逻辑,当然很多人看到爆破就惶惶不可终日也是完全没必要。
真正的渗透成功是要所有的安全防护措施都失效才能成功,瑞士奶酪理论,当你全部的措施有且只有一个密码的话,攻击面不仅大且薄,突破一层就可以成功渗透,甚至有的时候碰上漏洞都不用走正门爆破。高价值目标都是要层层防火墙+复杂口令+公钥体系认证+MFA 的,甚至再严格一点的还有网闸、独立骨干网等物理隔离堪称御敌 1000 自损 800 的手段  |
Select Language