V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tengxunkuku
V2EX  ›  分享发现

内网穿透导致电脑中勒索病毒

  •  
  •   tengxunkuku · 10 天前 · 3637 次点击
    在公司电脑上开了远程桌面内网穿透,今早一起来发现电脑被加了密码,我的电脑都是不设置密码的。试了几次没试对,用 PE 去除了密码,进去之后就是被勒索的壁纸,文件都被加密了,还好大部分文件都在 OneDrive 。当时大概看了一眼,好像试了 2000 多次,把我的用户名试出来了。后续还是不开端口,用 vpn 安全一些。
    38 条回复    2024-10-30 11:10:10 +08:00
    mydebug
        1
    mydebug  
       10 天前
    你用什么开的穿透? nps 吗?
    llxvs
        2
    llxvs  
       10 天前 via iPhone   ❤️ 1
    通過 RDP 連結的嗎?不設置密碼不是不能遠程 RDP 嗎?
    brader
        3
    brader  
       10 天前
    你是不是用了弱密码导致的啊?
    我之前用了很长一段时间 FRP 内网穿透开启远程桌面,一开始用的 STCP+电脑弱密码,没出过事。
    后来有些场景客户端不方便安装 FRP ,我就改回 TCP 模式+windows 远程账户强密码+本地 pin 码弱密码,也用的挺好的。
    cccer
        4
    cccer  
       10 天前
    应该还是 ipv4+3389 端口,这组合没有被爆破才奇怪。我强密码都不敢直接暴露远程桌面。
    BadFox
        5
    BadFox  
       9 天前
    rdp 你都敢暴露在公网?属实有点牛逼了。
    mystrylw
        6
    mystrylw  
       9 天前
    之前干过一样的蠢事,我还改了端口做的 frp 转发,一样被疯狂扫描。
    老哥真厉害,3389 就敢直接暴露了
    liuzimin
        7
    liuzimin  
       9 天前
    @llxvs 我也好奇这一点。
    kera0a
        8
    kera0a  
       9 天前 via iPhone
    真应该把内网穿透哥 at 进来看看
    kokutou
        9
    kokutou  
       9 天前
    系统不更新的? 有 rdp nday 漏洞吗
    bzw875
        10
    bzw875  
       9 天前
    不知者无畏,要是我估计要被辞退,如果公司信息泄密要吃官司
    linghan
        11
    linghan  
       9 天前
    密码都不设,直接内网穿透暴露出去,勇士
    Aixtuz
        12
    Aixtuz  
       9 天前
    “我的电脑都是不设置密码的”
    ...

    很多时候,习惯比技术更能影响安全。
    n2l
        13
    n2l  
       9 天前   ❤️ 2
    1. 没有精神洁癖的话,用向日葵,否则
    2. 用 tailscale ,改下防火墙上规则,3389 端口只允许 tailscale 的网段进入,具体参考 https://tailscale.com/kb/1095/secure-rdp-windows
    AS4694lAS4808
        14
    AS4694lAS4808  
       9 天前 via Android
    我司办公电脑被扫描到开了内网穿透,会发 Urgent 邮件通报到部门老大 (别问我怎么知道的)
    n2l
        15
    n2l  
       9 天前
    @n2l 如果 tailscale 没有直连的话,还可以自建 derp ,爽的一批。
    dna1982
        16
    dna1982  
       9 天前
    FRP 也有安全机制啊。
    你不会 FRP 也不设置验证,RDP 也不设置验证吧?那你也太牛了。
    yufeng0681
        17
    yufeng0681  
       9 天前
    你还要留意一下,同事的电脑是不是也中了勒索病毒。到了局域网里,一堆机器可以黑
    zhtyytg
        18
    zhtyytg  
       9 天前
    @n2l #13 +1 ,目前也是这两个方案并行。因为有时候 tailscale 会蜜汁访问不上(盲猜是护网),向日葵国内会稳定点
    cat9life
        19
    cat9life  
       9 天前
    电脑不设密码是什么操作~
    liuzimin
        20
    liuzimin  
       9 天前
    @n2l 用了 tailscale 为啥还需要加防火墙规则?
    liuzimin
        21
    liuzimin  
       9 天前
    @AS4694lAS4808 这个是如何扫描到的?
    glcolof
        22
    glcolof  
       9 天前
    自己有公网服务器的话,也可以试试 n2n ,与 tailscale 一样组建虚拟局域网,但是不依赖任何其他人,安全性是相对较高的。
    n2l
        23
    n2l  
       9 天前 via iPhone
    @liuzimin tailscale 连上后电脑会多出个适配器,该适配器的网段是 tailscale 特有,防火墙设限的目的是限制接入的 IP 网段,限制只在 tailscale 网段内的计算机才能通过 RDP 进入该电脑,即要想远程本地电脑只能双方都挂 tailscale 客户端,而且你跟其他 tailscale 用户是互相隔离的,即挂了 tailscale 客户端的其他人也是进不去你的电脑的,所以 3389 端口不变也安全了。
    n2l
        24
    n2l  
       9 天前 via iPhone   ❤️ 1
    @zhtyytg 应该是是不直连导致的,我在自家路由器上自建了 derp ,很幸福。
    zhangeric
        25
    zhangeric  
       9 天前
    前几天也有这样的贴子 ,里面有个中山大学的连接,可以给 rdp 加上 optp 密码.防止密码给试出来.当然最好的方式还是再安全策略里加上重试次数和时间限制.
    只找到了 https://inc.sysu.edu.cn/article/1050 这个连接
    hewitt29
        26
    hewitt29  
       9 天前
    不设置密码远程桌面是咋连上的。。
    bigshawn
        27
    bigshawn  
       9 天前
    @hewitt29 在策略组可以改
    tengxunkuku
        28
    tengxunkuku  
    OP
       9 天前
    统一回复,不设置密码需要更改组策略,从而启用远程连接。FRP 穿透的是大端口,也怪自己大意了,以为网络威胁离我们很远,实际上公网上脚本不停的在扫描。后续打算 openvpn 连到家里的公网从而组网,或者借用 rustdesk ,不会再直接暴漏端口。我的邮箱微信都在上面,一阵后怕。
    allpass2023
        29
    allpass2023  
       9 天前
    @cccer

    公网 IP+3389 端口,我用了十多年没出过事。

    Win2000 的时候是可以无密码的,随便就可以扫到一堆出来。 完全想不明白 OP 特意改为空密码是为什么。
    mimizi
        30
    mimizi  
       9 天前
    @glcolof n2n 的打洞能力感觉比 wireguard 强太多了。wireguard 我只当 backup 。主力还是 n2n
    hmxxmh
        31
    hmxxmh  
       9 天前
    吓得我赶紧关了 frp
    Damn
        32
    Damn  
       9 天前
    @BadFox rdp 换端口没问题,我高位端口跑了六七年了也没事,前两年勒索病毒流行起来的时候改成 VPN 了。rdp+公网 3389 才是问题。。
    frankfnck
        33
    frankfnck  
       9 天前 via iPhone
    建议用 ipban ,并且开启关于密码登陆的组策略,已经开了很多年了,没出过问题。
    wolfsun
        34
    wolfsun  
       9 天前
    “导致”,呵呵,逻辑一片混乱,以后你也一定会再遇到更多安全问题的
    skull
        35
    skull  
       9 天前 via iPhone
    老牛逼了,这是公司的福气
    xiaoheicat
        36
    xiaoheicat  
       9 天前 via iPhone
    跟我经历一样,赶紧配合 it 做排查吧,

    这个内网传播的多了公司可能要追责的!
    BadFox
        37
    BadFox  
       9 天前
    rdp 这种高危协议暴露在公网是一种非常欠妥的考量,危险程度比弱密码低,比不改端口高。诚然你改改端口可以解决大概 60%的公网自动渗透 bot ,但是 rdp 本身就出过不止一次漏洞,如果不爆破直接针对你的协议攻击呢?比如经典款 CVE-2019-0708 。
    AS4694lAS4808
        38
    AS4694lAS4808  
       8 天前
    @liuzimin 办公电脑都要加域+一大堆监控软件
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4206 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 05:31 · PVG 13:31 · LAX 21:31 · JFK 00:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.