这是一个创建于 441 天前的主题,其中的信息可能已经有所发展或是发生改变。
RDP 时一直提示“为安全考虑,已锁定该用户账户,原因是登录尝试或密码更改尝试过多”。
我心想我自己密码没输错啊,咋一直这提示。
后来搜索了下,可以查看攻击者 ip:
https://e673.com/windows-remote-desktop-rdp-account-locked/
如果你想查看攻击者的 IP 地址,打开 事件查看器——windows 日志——安全,在审核失败的日志上双击,找到网络源地址就是攻击者的 IP ,当然,这个 IP 极大概率是肉机或者代理的 IP 。
看了下,大多数 ip 如下:
79.124.56.186
141.255.167.50
46.19.142.242
而且尝试爆破的频率很高,基本上 20-30s 左右就爆破一次。
要是 win11 有像群晖一样,超过几次失败,直接 block ip 的功能就好了。
第 1 条附言 · 2024-08-15 23:53:45 +08:00
 |
1
learnshare 2024-08-15 23:09:10 +08:00
火绒
|
 |
2
s4nd 2024-08-15 23:39:14 +08:00
win10 有没有软件能发现电脑有没有在被爆破
|
 |
3
leewi9coder 2024-08-15 23:49:02 +08:00
为什么我的日志里源网络地址: 127.0.0.1
|
 |
4
dizhang 2024-08-15 23:59:38 +08:00
妈呀,查了一下日志,几分钟一次 winlogon ,奇怪的是我把电脑的 3389 映射到了路由器上另外一个端口,比如说 386 这个端口,我自己连回家的时候就是用的 ip 加 386 这个端口的方式,那么这些攻击的机器怎么会知道这个端口的然后不断尝试的?
|
 |
5
osilinka 2024-08-16 00:01:11 +08:00
How to Whitelist an IP Address for RDP
|
 |
6
Daming 2024-08-16 00:27:34 +08:00  1
|
 |
8
feikaras 2024-08-16 01:36:49 +08:00 1
不要把这个服务开在互联网上。
|
 |
9
dilidilid 2024-08-16 04:14:32 +08:00
干嘛要在公网开 3389 端口?
|
 |
11
idragonet 2024-08-16 07:37:59 +08:00 1
路由器映射外网的端口都开启 IP 白名单。
|
 |
12
ho121 2024-08-16 07:42:56 +08:00 via Android
@leewi9coder 用了穿透软件,访问本机服务基本都是 127.0.0.1
|
 |
13
dwu8555 2024-08-16 08:11:26 +08:00
套一个 Cloudflare
|
 |
14
Kazetachinu 2024-08-16 08:20:12 +08:00 via iPhone
啊,我没有公网 ip ,用了个内网穿透弄 emby 。应该还行
|
 |
16
busier 2024-08-16 09:14:04 +08:00 via iPhone 1
多大点事
内置管理员账号改名或禁用。对方又要猜用户名,又要猜密码。哪那么容易 |
 |
17
mcluyu 2024-08-16 09:23:01 +08:00
不使用默认用户名和弱密码几乎没可能爆成功, 但是心里膈应, 所以都是走 VPN 的,之前用 Wireguard , 现在 tailscale
|
 |
18
peasant 2024-08-16 09:23:51 +08:00
windows11 用的不应该是 Microsoft 账户吗,别人不知道你的账户就算爆破也不会影响你正常使用,OP 自己开了 Administrator 账户来用?
建议把 RDP 端口改成没有规律的端口,或者防火墙设置白名单,使用 Microsoft 账户,并且勾选仅允许运行使用网络级别的身份验证的远程桌面的计算机连接。 |
 |
19
Stoney 2024-08-16 09:26:38 +08:00 via iPhone
公网开 rdp 应该肯定被扫吧,改端口也没用,把不需要的 IP 都禁止连 rdp 端口吧
|
|
20
leewi9coder 2024-08-16 09:41:49 +08:00
@ho121 ok ,我是用 frp 的,通过一台阿里云机子中转,不过阿里云上我开了 ip 白名单,怎么还会有别人能访问到呢,奇怪。。
|
 |
21
wangweitung OP |
|
22
wangweitung OP |
|
23
wangweitung OP |
 |
24
Satansickle 2024-08-16 11:20:26 +08:00 1
不要映射 ipv4 的端口,直接用 ipv6 做 ddns ,几乎不会被爆破
|
|
25
idragonet 2024-08-16 11:35:52 +08:00 1
@wangweitung #23 自己什么 IP 就允许什么 IP 。
|
 |
26
nyxsonsleep 2024-08-16 12:15:02 +08:00
@dizhang #4 自用端口改到大数字的端口上,别往小改
|
 |
27
wtof 2024-08-16 14:13:54 +08:00 1
我在用 RDPGuard ,不过是付费软件
https://rdpguard.com/ |
|
28
wtof 2024-08-16 14:18:06 +08:00 1
另外可以考虑用类似 rohos logon key 的软件远程登录的时候再加一道动态口令(谷歌验证器那种)
|
 |
29
jjxtrotter 2024-08-16 14:36:30 +08:00
rdp 的默认端口没改?
|
 |
30
AnroZ 2024-08-16 15:02:10 +08:00
查看了我在用的电脑,有个 80.94.95.153 ,正在每 6 秒尝试一次 Logon 。。。。。
|
 |
31
registerrr 2024-08-16 15:32:49 +08:00
公司云端有个 Windows 服务器,装了个 IPBan ,win11 应该也能装。错误两次,直接 Ban7 天,虽然杜绝不了,最起码心理感觉是更安全了。最根本的是登陆密码要复杂、牢靠
https://github.com/DigitalRuby/IPBan |
 |
32
simplove 2024-08-16 16:08:27 +08:00
<img src = 'https://img.233444.xyz/imgs/2024/08/5dd95829b8788113.png' />
我用的是这个,很好用 |
|
33
simplove 2024-08-16 16:09:04 +08:00 1
|
 |
34
Earsum 2024-08-16 17:15:01 +08:00 1
同用 rdpdefender ,不过现在都是 vpn 拨回去了,外网不暴露不会被爆破 rdp
|
 |
35
kqz901002 2024-08-16 17:22:00 +08:00 1
 这是日常 |
 |
36
EvineDeng 2024-08-17 19:27:23 +08:00
如果是软路由,加一层防火墙可好太多了,只允许特定省份的 IP 访问特定端口。
IPv4 地址分省清单: https://github.com/devome/files/blob/master/ikuai/ipgroup.csv IPv6 地址分省清单: https://github.com/devome/files/blob/master/zxipv6wry/ipv6group.csv |
|
37
wangweitung OP |
Select Language