V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
v2ls
V2EX  ›  信息安全

请教一个电脑被爆破的问题

  •  1
     
  •   v2ls · 2022-06-08 10:20:39 +08:00 · 4981 次点击
    这是一个创建于 900 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近发现自己的电脑一直在被远程登陆爆破,只不过一直没猜对账户名。但是有一个问题不解,就是事件查看器里显示每次尝试登陆的源网络地址都是 127.0.0.1 。 看微软文档里解释的是,“源网络地址”指“执行登录尝试的计算机 IP 地址”,127.0.0.1 指本地主机。这难道是说我的电脑在不停的自己尝试登陆自己吗?

    第 1 条附言  ·  2022-06-08 12:11:40 +08:00

    感谢各位老哥的建议。 经过老哥提醒,把frp关闭后就没有尝试登陆的行为了,所以确认是frp的问题了,可能这也是为什么源网络地址显示的是127.0.0.1的原因吧。按照老哥的建议,把frp开启了STCP,现在应该算是安全了。 另外突然想起我部署frps的服务器是Windows server系统的,刚才上去看了一下,也是在被不停尝试登陆,但是不显示任何源网络地址。好在服务器的密码还是比较复杂,上面也没啥重要东西。

    36 条回复    2022-06-09 10:34:55 +08:00
    shanch
        1
    shanch  
       2022-06-08 10:28:01 +08:00   ❤️ 1
    有内鬼,停止交易
    huntagain2008
        2
    huntagain2008  
       2022-06-08 10:33:43 +08:00
    小白想到供应商远程到故障服务器,我这边看到的日志是 127.0.0.1 通过 ssh 远程调试
    totoro625
        3
    totoro625  
       2022-06-08 10:38:36 +08:00
    看一下有没有运行 frp 等内网穿透工具
    v2ls
        4
    v2ls  
    OP
       2022-06-08 10:39:04 +08:00
    @huntagain2008 没太看懂老哥你说的。我这个是个人用的电脑。昨晚我把远程桌面关闭后,就没有这种尝试登陆了,今天早上打开远程桌面后就又开始了。很无语。
    ik
        5
    ik  
       2022-06-08 10:45:44 +08:00 via iPhone
    比如 frp 穿透的 local ip port 127.0.0.1:3389 就会这样吧
    rpish
        6
    rpish  
       2022-06-08 10:45:57 +08:00 via Android
    已经被 getshell 了 对方想爆破 rdp 远程操控
    全盘扫描杀个毒先 然后有没打的补丁赶紧打上
    v2ls
        7
    v2ls  
    OP
       2022-06-08 10:47:42 +08:00
    @totoro625 是有装 frpc 的,您的意思攻击者企图用我的 frpc 登陆吗?
    v2ls
        8
    v2ls  
    OP
       2022-06-08 10:48:27 +08:00
    @ik 意思是攻击者尝试用我的 frp 登陆,所以才显示的是 127.0.0.1 吗?
    v2ls
        9
    v2ls  
    OP
       2022-06-08 10:49:26 +08:00
    @rpish 好的,我先杀个毒看看,谢谢老哥
    Juszoe
        10
    Juszoe  
       2022-06-08 10:57:43 +08:00
    是 frp 就正常了,你是不是把 3389 映射到公网了
    v2ls
        11
    v2ls  
    OP
       2022-06-08 10:59:10 +08:00
    @Juszoe 没有用默认的 3389 ,换了一个高端口。意思是说 frp 不太安全吗?
    imes
        12
    imes  
       2022-06-08 11:03:32 +08:00 via Android
    @v2ls 11# frp 要使用 stcp ,双端加密,不然肯定会被人批量扫描爆破。
    sola97
        13
    sola97  
       2022-06-08 11:04:25 +08:00
    对方直接通过高端口爆破,日志里也是 127.0.0.1 嘛
    Juszoe
        14
    Juszoe  
       2022-06-08 11:06:14 +08:00
    @v2ls #11 不是 frp 不安全,是你把远程桌面映射到公网这个“行为”是不安全的,此类行为建议开启 frp 的 STPC 功能,避免让端口直接暴露在公网上导致任何人都能访问到。
    v2ls
        15
    v2ls  
    OP
       2022-06-08 11:07:07 +08:00
    @imes 明白了,我这就去修改一下配置。
    huntagain2008
        16
    huntagain2008  
       2022-06-08 11:18:29 +08:00
    @v2ls #4 只是想说供应商远程调试服务器留下的日志的源网络地址也都是 127.0.0.1 , 当然不是说供应商在本地登录进行调试,他是远程连进来的。这个并不奇怪,也和#1 的内鬼没有关系。
    v2ls
        17
    v2ls  
    OP
       2022-06-08 11:18:49 +08:00
    @Juszoe 明白了,谢谢老哥。我刚才把电脑的 frp 关闭后,确实没有尝试登陆的行为了。我现在去开启一下 STCP 。
    mcluyu
        18
    mcluyu  
       2022-06-08 11:57:23 +08:00
    赶紧去看了下我的, 已经被人爆了很久了😭😭😭, 能看到几个 IP 还,有立陶宛的。。我有公网 IP ,端口转发出去的也是,太危险了。
    ik
        19
    ik  
       2022-06-08 12:02:47 +08:00 via iPhone
    @v2ls #8 差不多是这意思吧, 你可以直接把 frpc 关掉,再看日志就知道了
    v2ls
        20
    v2ls  
    OP
       2022-06-08 12:02:52 +08:00
    @mcluyu 我部署 frps 的服务器是 windows server 系统的,刚才上去看了一下,也是在被人不停的尝试登陆,而且不显示源网络地址,都不知道是哪的攻击者。
    v2ls
        21
    v2ls  
    OP
       2022-06-08 12:12:22 +08:00
    @ik 是这样的,确认是 frpc 的问题了。谢谢老哥。
    Cambrian07
        22
    Cambrian07  
       2022-06-08 15:25:00 +08:00
    感谢老哥,我看了一下我的也正在被爆破……
    mingl0280
        23
    mingl0280  
       2022-06-08 15:56:19 +08:00
    我也把 3389 开到公网的,但是我防火墙上有规则,一分钟内尝试三次连接直接 IP 地址黑名单……
    结果就是拉黑接近 4 万 IP 地址以后,现在基本上很长时间都碰不到一个头铁的扫描了
    v2ls
        24
    v2ls  
    OP
       2022-06-08 16:04:21 +08:00
    @mingl0280 请教一下直接拉黑 IP 是怎么设置的?我在本地组策略编辑器里设置了失败 3 次就锁定 30 分钟,但我不明白为什么还是每分钟都会有尝试登陆。
    brader
        25
    brader  
       2022-06-08 16:14:32 +08:00
    曾经很多人在公司使用内网穿透的时候,我经常会劝他们两点,1.对这个东西没有足够了解,请不要用。2.未经公司授权,注意法律风险。
    TroyChen
        26
    TroyChen  
       2022-06-08 16:18:45 +08:00
    我去年就遇到了 NAS 被人尝试爆破的情况,是用了 NPS 做穿透,还好密码足够复杂。。。
    mingl0280
        27
    mingl0280  
       2022-06-08 16:55:37 +08:00
    @v2ls 来源太多了。
    https://raw.githubusercontent.com/mingl0280/bad-ips/master/addr_lst_export.rsc
    这是我路由器上抓到的扫描器 IP 地址列表。
    mingl0280
        28
    mingl0280  
       2022-06-08 16:58:11 +08:00
    @v2ls 我这个是用的 RouterOS 路由器上的防火墙规则设的(有点像用 iptables )。有一系列规则,大概就是你一分钟创建一个连接的话防火墙会记录到一个列表里,再创建一个连接(如果在之前那个列表里)就加入第二个列表……这样,一分钟内创建了超过 3 个连接的话意味着这玩意儿基本上是扫描器,第三次就直接加入永久性黑名单不再出来。
    NEPv5NA6R8R3Y11u
        29
    NEPv5NA6R8R3Y11u  
       2022-06-08 17:12:51 +08:00
    端午假期第一天电脑被黑,rdp 爆破,文件全被锁了
    也没惯着,直接就重装了,然后 rdp 换端口,限制 IP
    laqow
        30
    laqow  
       2022-06-08 18:28:47 +08:00
    开个 alpine 什么的虚拟机,给个零权限用户开 frp ,公开一个用密匙对验证的 ssh 接入端口或者什么别的加密端口映射工具,再通过虚拟系统的 ssh socket 连 host 。这样顶多爆破到虚拟机没权限的用户。
    sailgu
        31
    sailgu  
       2022-06-08 20:50:02 +08:00
    ZeawinL
        33
    ZeawinL  
       2022-06-09 00:10:50 +08:00 via iPhone
    如果配置了 stcp ,是不是意味着访问者也要启动一个 frpc 服务?那手机不是不能连其他内网远程桌面了?
    v2ls
        34
    v2ls  
    OP
       2022-06-09 10:33:17 +08:00
    @mingl0280 看不大懂,有时间学习一下,谢谢老哥
    v2ls
        35
    v2ls  
    OP
       2022-06-09 10:34:20 +08:00
    @sailgu 事件 ID 是 5379 ,可以查一下是什么意思。我的是 4625 ,表示登陆失败。
    v2ls
        36
    v2ls  
    OP
       2022-06-09 10:34:55 +08:00
    @ZeawinL 是这样的。github 上 frp 也有安卓客户端,但是我没试过。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2892 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 00:07 · PVG 08:07 · LAX 16:07 · JFK 19:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.