V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
PcxQkx
V2EX  ›  信息安全

[求助帖] 服务器一直被登陆注销 登陆注销,+数据库被疯狂爆破密码·······

  •  
  •   PcxQkx · 2021-04-24 21:28:44 +08:00 · 6057 次点击
    这是一个创建于 1295 天前的主题,其中的信息可能已经有所发展或是发生改变。

    [img]https://www.hualigs.cn/image/60841bffa539b.jpg[/img] [img]https://www.hualigs.cn/image/60841c001cf79.jpg[/img] 鉴于鄙人是个菜·····之前访问数据库的时候,让卖系统的改数据库端口,他还没改好,然后我一直都是手动用火绒添加 IP 去拦截的,但是拦截后,过几分钟就换 ip 又过来了······这么一直被登陆 注销 也不是个事呀。 我现在有 360 杀毒+火绒,但是治标不治本, 所以有没有老哥 给支支招啊 求求了😭😭😢

    第 1 条附言  ·  2021-04-27 11:06:58 +08:00
    服务器被提权 admin 了,已经是打算重做系统了····谢谢各位的建议····虽然我都不会 QAQ
    58 条回复    2021-04-28 15:52:08 +08:00
    PcxQkx
        1
    PcxQkx  
    OP
       2021-04-24 21:29:52 +08:00
    在线等····急····
    Yourshell
        2
    Yourshell  
       2021-04-24 21:34:20 +08:00
    ip 白名单
    ferock
        3
    ferock  
       2021-04-24 21:35:27 +08:00 via iPhone
    增加图灵测试
    PcxQkx
        4
    PcxQkx  
    OP
       2021-04-24 21:36:05 +08:00
    @Yourshell 服务器装的有 ERP 系统的远程接入,会影响这个吗?
    Yourshell
        5
    Yourshell  
       2021-04-24 22:03:51 +08:00
    @PcxQkx 加到白名单就好了啊
    CEBBCAT
        6
    CEBBCAT  
       2021-04-24 22:09:32 +08:00 via Android
    这毕设吗?闲时关闭应该有用

    fail2ban 是 Unix 平台上比较好用的,不知道 Windows 上有没有
    flynaj
        7
    flynaj  
       2021-04-24 22:18:16 +08:00 via Android   ❤️ 1
    不必要的端口全部关,还有现在用 Windows 做服务器真的少见
    jousca
        8
    jousca  
       2021-04-24 22:25:24 +08:00
    @flynaj 很多 windows 服务器。相比 linux 这种满地碎玻璃渣来说,微软的东西更靠谱。说 windows 不安全的都是没认真学过微软系统的人。
    msg7086
        9
    msg7086  
       2021-04-24 22:30:32 +08:00 via Android   ❤️ 1
    @jousca 主要不是因为贵吗?一个授权几百刀,除了非法使用和特殊企业以外,愿意花钱买系统的并不算多。而且懂 Windows 的太少了。
    opengps
        10
    opengps  
       2021-04-24 23:04:12 +08:00
    你这是数据库端口对公网开放了?
    这么用得用白名单模式,黑名单模式不适用
    chinvo
        11
    chinvo  
       2021-04-24 23:12:54 +08:00   ❤️ 1
    @jousca #7 前提是"会用"

    太多人把 windows server 当桌面系统用, 自己作死把默认的安全策略关掉还用各种不明来源的程序
    cnrting
        12
    cnrting  
       2021-04-24 23:57:03 +08:00
    关机。。。
    PcxQkx
        13
    PcxQkx  
    OP
       2021-04-25 00:07:38 +08:00
    @opengps 确实有公网端口···做数据互通接口用到的···
    PcxQkx
        14
    PcxQkx  
    OP
       2021-04-25 00:08:59 +08:00
    @Yourshell 额 用远程接入的那些人 ip 貌似没公网 ip····那白名单应该怎么加···
    PcxQkx
        15
    PcxQkx  
    OP
       2021-04-25 00:09:26 +08:00
    @CEBBCAT 不···这是公司服务器····
    PcxQkx
        16
    PcxQkx  
    OP
       2021-04-25 00:10:31 +08:00
    @flynaj 额 实际上有用路由器做公网端口映射····是不是只要公网上的不乱开就行了?
    CallMeReznov
        17
    CallMeReznov  
       2021-04-25 01:06:58 +08:00
    你这个.我都不知道从何吐槽.
    mingl0280
        18
    mingl0280  
       2021-04-25 01:43:07 +08:00 via Android
    @PcxQkx 为啥你会暴露本地数据库端口给公网?不被自动化脚本打爆才见鬼了。
    路由器上把端口转发关掉。
    Rocketer
        19
    Rocketer  
       2021-04-25 01:54:26 +08:00 via iPhone
    楼主这槽是有多大?连 360 都没人吐了!
    ysc3839
        20
    ysc3839  
       2021-04-25 05:08:16 +08:00 via Android
    看你这图感觉是操作系统用了弱密码被破解了?似乎没看出跟数据库有什么关系,是操作系统本身的密码漏了。
    建议重装系统并设置强密码。
    xenme
        21
    xenme  
       2021-04-25 06:10:59 +08:00 via iPhone
    这图看起来不就是系统进程本地登录么,跟被登录注销有啥关系?
    keelele
        22
    keelele  
       2021-04-25 08:17:45 +08:00
    把端口都屏蔽了

    只添加信任放行
    youhuo
        23
    youhuo  
       2021-04-25 08:20:46 +08:00
    添加安全软件 ,不用对外的端口屏蔽访问
    uadw
        24
    uadw  
       2021-04-25 08:26:07 +08:00
    把防火墙开起来
    PcxQkx
        25
    PcxQkx  
    OP
       2021-04-25 09:10:24 +08:00
    @mingl0280 不转发···那接口可能就用不了了····
    PcxQkx
        26
    PcxQkx  
    OP
       2021-04-25 09:16:05 +08:00
    @ysc3839 密码也不弱欸 我最近还又改了一次,目前看 貌似还没被破解吧···<img src="https://www.hualigs.cn/image/6084c2b119a33.jpg"/>这是之前数据库的问题,我感觉攻击的那个人换思路了·····
    PcxQkx
        27
    PcxQkx  
    OP
       2021-04-25 09:17:12 +08:00
    @uadw ···今天把防火墙开起来了 但是 ERP 软件连不上 头大·····
    PcxQkx
        28
    PcxQkx  
    OP
       2021-04-25 09:32:35 +08:00
    @xenme 你可以看下我新补的图···是之前数据库的···
    man9820
        29
    man9820  
       2021-04-25 09:51:33 +08:00 via iPhone
    你装 360 是个什么玩意儿,个人 pc 都不敢用的东西,况且服务器你装个毛线的杀毒软件,服务器装安全狗吧,不知道现在还有没有这个,好多年没用 win 系统了
    ericww
        30
    ericww  
       2021-04-25 10:01:00 +08:00 via iPhone
    打开防火墙,只放行 ERP 端口
    raptor
        31
    raptor  
       2021-04-25 10:06:35 +08:00
    @jousca 能把 windows 搞安全的人比能把 Linux 搞安全的人少得多也贵得多。
    xenme
        32
    xenme  
       2021-04-25 10:14:38 +08:00 via iPhone
    @PcxQkx 数据库点就不要开公网,给 erp 开个白名单呗
    PcxQkx
        33
    PcxQkx  
    OP
       2021-04-25 10:53:12 +08:00
    @man9820 。。。。。。。我去下了个安全狗,然后 ERP 和远程、快速接入 都被毙了·······又卸载重启了···
    zhengrt
        34
    zhengrt  
       2021-04-25 11:14:57 +08:00
    @PcxQkx 建议加一个硬件防火墙,拦截一下快速非法请求
    buster
        35
    buster  
       2021-04-25 11:40:26 +08:00
    这台 win 上部署了应用+数据库吗,如果是公司网络那边做了外网映射,可以只开应用端口就行了,把 win 的 rdp 端口关了。
    sarices
        36
    sarices  
       2021-04-25 11:42:58 +08:00
    禁用互联网,走 VPN
    no1xsyzy
        37
    no1xsyzy  
       2021-04-25 11:48:46 +08:00
    @jousca 陈述的是少见,突然开始讲安全未免有点牛头不对马嘴。
    WC 服务器是真的少见。挂在 Azure 上面的都是 Linux 多,M$ 才意识到、才去认真对待开源软件(是否认真对待自由软件另说)。
    1. 在不考虑成本上限的情况下,所有系统当然都能做到同等的安全性,但是真实世界是有成本的;
    2. GNU/Alpine+Linux+OpenSSL 的安全性部分来自可以裁剪降低攻击面和攻击面的不确定性,这在成本上是非常低的,同时提供了大量的缓冲时间;
    3. 所有 WC 都无法抗拒来自 M$ 的恶意,你只能通过其他手段让 WC 不知道 M$ 的恶意,但你也不能保证这个手段生效了;
    4. 非 WC 也不是只有 Linux,BSD 在安全策略上更激进;
    5. 重大恶性 Bug 的平均存续时间(包括存在但未被发现的时间),Linux 是 5 年,Windows 是 10 年。
    Felldeadbird
        38
    Felldeadbird  
       2021-04-25 14:22:18 +08:00
    你是云主机,有一层安全策略。你直接把所有对外端口先 关了。然后内网开一台 机器去连接。 进行一些安全处理。
    konakona
        39
    konakona  
       2021-04-25 14:25:15 +08:00
    改端口。

    或者增加安全策略,最简单的方式就是限定 IP 白名单。
    realpg
        40
    realpg  
       2021-04-25 14:31:09 +08:00
    可以给多钱解决这个问题?
    quan01994
        41
    quan01994  
       2021-04-25 14:52:57 +08:00
    不装个安全狗吗 。 一般运维的话就直接装个安全狗。
    PUBG98k
        42
    PUBG98k  
       2021-04-25 15:28:57 +08:00
    装个 todesk
    关闭 rdp 服务.
    Hslacker
        43
    Hslacker  
       2021-04-25 15:44:11 +08:00
    加安全组?
    ysc3839
        44
    ysc3839  
       2021-04-25 15:56:00 +08:00 via Android
    @PcxQkx 既然密码不弱,也没被破解,那怕啥啊?你觉得有一堆登录不爽的话就去找找 fail2ban 类似的工具吧。
    PcxQkx
        45
    PcxQkx  
    OP
       2021-04-25 16:24:53 +08:00
    @ysc3839 我主要是怕出问题背锅,就很难受了😂
    PcxQkx
        46
    PcxQkx  
    OP
       2021-04-25 16:26:39 +08:00
    @Felldeadbird 不是云主机,实体的
    @PUBG98k 主要是我电脑上还有 ERP 软件的快速接入,如果我把 rdp 关了 是不是会影响到?
    PcxQkx
        47
    PcxQkx  
    OP
       2021-04-25 16:28:37 +08:00
    @quan01994 装了安全狗 然后 ERP 和远程都不能用了 当时刚上班就又卸载了,
    PcxQkx
        48
    PcxQkx  
    OP
       2021-04-25 16:29:38 +08:00
    有没有人跟我讲下 SERVER 是我的服务器名,那么 SERVER$这个用户是怎么回事?我查了半天用户名,并没有看到这个用户,然后我的日志一直在提示我该账户在更改策略。
    PUBG98k
        49
    PUBG98k  
       2021-04-25 16:42:16 +08:00
    @PcxQkx ToDesk 是代替 rdp 的.
    v2tudnew
        50
    v2tudnew  
       2021-04-25 16:54:48 +08:00
    RDP+VPN 就行,服务器就不要把安全交给第三方了。
    PcxQkx
        51
    PcxQkx  
    OP
       2021-04-26 00:32:15 +08:00
    @v2tudnew 有教程吗老哥····没做过
    wxlg1117
        52
    wxlg1117  
       2021-04-26 06:40:02 +08:00
    服务器之间互联走 vpn 内网啊
    securityCoding
        53
    securityCoding  
       2021-04-26 11:01:54 +08:00
    黑名单换白名单
    tankren
        54
    tankren  
       2021-04-26 13:34:57 +08:00
    ERP 服务器要禁因特网吧 只能内网接入 非本地网络也要用远程组网组到内网里面
    PcxQkx
        55
    PcxQkx  
    OP
       2021-04-27 11:04:55 +08:00
    @tankren 额 windows 服务器如何禁外网?···主要是 erp 软件 要对接其他系统 接口要放在外网上,
    PcxQkx
        56
    PcxQkx  
    OP
       2021-04-27 11:05:36 +08:00
    解决不了 哥哥们 我已经打算重装服务器了,目前那账户可以凭借凭据登陆 admin 了。。。。
    tankren
        57
    tankren  
       2021-04-27 11:40:22 +08:00
    @PcxQkx #54 白名单啊
    q428202849
        58
    q428202849  
       2021-04-28 15:52:08 +08:00
    重装系统 禁 IP
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2587 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 04:44 · PVG 12:44 · LAX 20:44 · JFK 23:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.