V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
alan9999
V2EX  ›  信息安全

求助,被入侵了,如何减小损失?

  •  
  •   alan9999 · 4 天前 · 12155 次点击

    一台旧 windows 电脑放在公司用 frp 暴露在公网上,弱口令,方便平时在外远程

    今天早晨发现路由器网络有异样,登录查看日志,发现很多 frp 登录记录

    立即警觉,发现那台旧 Windows 密码被改了,赶紧断网,找回密码

    登录进去后发现 在系统 Picture 文件夹被人新建了一个名为 FAT 的文件,里面放了一堆密码查看的工具

    有一个查看 Chrome 密码记录的软件是打开的,我平时常用网站的密码应该都泄露了,苹果、QQ 、淘宝、京东...

    他还扫描了局域网内其他的电脑,用我 Chrome 里面的密码尝试登录其他电脑(应该没有成功)

    求助各位大佬,目前这种情况有哪些风险,如何减小密码泄露带来的损失呢

    第 1 条附言  ·  4 天前
    刚才发现旧 Windows 里 Windows Defender 被禁用了
    所有 exe 文件的"修改时间"全部变成 被入侵的时间了,被种了木马, 准备全部格了重装
    第 2 条附言  ·  3 天前
    我的主要应用场景是在外用 iPhone 远程做一些操作,所以网络结构不能太复杂
    123 条回复    2024-11-29 00:57:03 +08:00
    1  2  
    alan9999
        101
    alan9999  
    OP
       3 天前
    @tangchi695 它进来后第一时间关闭了杀软啊
    superhero666
        102
    superhero666  
       3 天前
    真是作死,先看看公司有没有损失吧,小心人进去
    ice
        103
    ice  
       3 天前
    我感觉 弱口令问题不大 但是弱用户名是有点太不尊重小黑佬了
    ice
        104
    ice  
       3 天前
    另外说一句,黑产自动化的意思是自动化做了所有事,不需要人为干预,但是看起来你这个电脑是实人操作的话,报警很好
    tangchi695
        105
    tangchi695  
       3 天前
    @alan9999 你只用的 Windows Defender ,没有安装其他的安全软件?
    Jokesy
        106
    Jokesy  
       3 天前
    别人 永远不会想到我 Win 电脑的 登录账号是中文的。就这一点,秒杀所有
    frankilla
        107
    frankilla  
       3 天前
    @hyperbin #81 我用 vaultwarden 。
    gvdlmjwje
        108
    gvdlmjwje  
       3 天前
    如果导致从你这作为跳板勒索公司服务器,OA SAP 啥的 你就完蛋了。
    下次谁还发帖说如何绕过公司网管\IT 要搞 frp 打洞我就把这帖子给他们看看。🙄
    superrichman
        109
    superrichman  
       3 天前
    @snailya 4 位用户名,我猜是 用户名 alan 密码 9999 🐶
    angryfish
        110
    angryfish  
       3 天前   ❤️ 1
    你那些什么 qq 号是小事,要是这台电脑可以访问公司资产的话,你赶紧格式化这台电脑吧。别承认自己用了 frp ,装糊涂算了。
    guanzhangzhang
        111
    guanzhangzhang  
       3 天前
    弱口令还好,主要是很多人无脑用 frp 映射,而不是去用 vpn 组网
    zhangeric
        112
    zhangeric  
       3 天前
    @cjban #42 安全起见最好设密码.
    方法如下:
    开始 --- 运行 ( win+R) --- secpol.msc --- 安全设置 --- 本地策略 --- 安全选项 --- 帐户:使用空密码的本地帐户只允许 .... --- 双击 --- 选择 “已禁用” 。
    cjban
        113
    cjban  
       3 天前
    @liuzimin 这就不知道了...
    mdb
        114
    mdb  
       3 天前
    @alan9999 写个服务定时检查 IP ,如果有变化就发个提醒给你
    allendavis
        115
    allendavis  
       3 天前   ❤️ 1
    非弱密码+非默认端口+stcp 不知道安全点不,要不我还是关了吧...
    yagamil
        116
    yagamil  
       3 天前
    @frankilla 的确,不知道为啥这么大的公司 做这么垃圾的功能,,,,
    alan9999
        117
    alan9999  
    OP
       3 天前
    @mdb 我的主要应用场景是在外用 iPhone 远程做一些操作
    alan9999
        118
    alan9999  
    OP
       3 天前
    @huaxing0211 我的主要应用场景是在外用 iPhone 远程做一些操作
    alan9999
        119
    alan9999  
    OP
       3 天前
    @deepbytes 我的主要应用场景是在外用 iPhone 远程做一些操作,有什么好的建议吗
    alan9999
        120
    alan9999  
    OP
       3 天前
    @deepbytes 我的主要应用场景是在外用 iPhone 远程做一些操作,有什么好的建议吗
    alan9999
        121
    alan9999  
    OP
       3 天前
    @ice 是的,从作案手法来看应该是个菜鸟
    我的主要应用场景是在外用 iPhone 远程做一些操作,请问有什么好的建议吗
    Satansickle
        122
    Satansickle  
       2 天前
    @LanhuaMa 那还有什么改进的办法呢?
    LanhuaMa
        123
    LanhuaMa  
       2 天前
    @Satansickle #122 tailscale, wireguard, cloudflare zerotrust, vscode tunnel 都可以啊
    重点是把所有不必要暴露的端口全关掉,无论是 v4 还是 v6
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   920 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 21:16 · PVG 05:16 · LAX 13:16 · JFK 16:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.