V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
vve2ex
V2EX  ›  程序员

腾讯云 win2008 被暴力登录怎么办

  •  
  •   vve2ex · 2018-03-09 10:35:40 +08:00 · 7175 次点击
    这是一个创建于 2444 天前的主题,其中的信息可能已经有所发展或是发生改变。
    前几天上车腾讯云,装了个 win2008,今天本来想查看一下远程桌面日志,结果发现了一大片登录失败的日志,
    应该是有人暴力登录猜解密码了.

    懒得找图床了,简单描述下现象
    审核失败, 事件 ID4625, 任务类型登录
    失败原因%%2313,查了一下是登录用户名或密码错误的意思
    有少数几个 ip 来自一个 58.20 开头的 ip 段,湖南湘潭联通的 ip
    大部分日志的 ip 和 port 都是空

    本人一个服务器小白,遇到这种情况怎么处理
    第 1 条附言  ·  2018-03-09 18:52:54 +08:00
    参考这篇文章修改了远程桌面端口,
    Win 系统如何修改远程桌面端口 3389 (两步搞定)_百度经验
    https://jingyan.baidu.com/article/ce43664928d5293773afd39b.html

    顺道修改了 vnc 和 proxy 的端口并加强了密码, 应该不会有问题了
    日志里面也看不到登录失败的日志了

    世界终于安静了
    第 2 条附言  ·  2018-03-09 22:31:02 +08:00
    无语,刚清净了一会儿,又来了, 端口白换了

    工作站名: LENOVO-YQ5O1802
    源网络地址: 59.108.196.210
    源端口: 5096
    工作站名: WIN-68AUQSMETPA
    源网络地址: 59.108.58.148
    源端口: 18582
    工作站名: WIN-68AUQSMETPA
    源网络地址: 211.103.216.36
    源端口: 28904
    工作站名: WIN-68AUQSMETPA
    源网络地址: 59.108.58.148
    源端口: 11054

    查了一下 ip, 两个都是北京宽带的
    换着 ip 换着端口换着机器一直尝试登陆

    看见日志有个匿名登录审核成功的,这种怎么办
    安全 ID: ANONYMOUS LOGON
    帐户名: ANONYMOUS LOGON
    帐户域: NT AUTHORITY
    工作站名: WIN-68AUQSMETPA
    源网络地址: 59.108.58.148
    源端口: 11054

    怎么搞
    37 条回复    2018-03-12 17:49:25 +08:00
    XiaoFaye
        1
    XiaoFaye  
       2018-03-09 10:38:51 +08:00
    防火墙 BAN 这个 IP 就行了,很简单。
    openbsd
        2
    openbsd  
       2018-03-09 10:45:10 +08:00
    换个端口会不会好点 ?
    yingfengi
        3
    yingfengi  
       2018-03-09 11:03:24 +08:00 via Android
    不要使用 3389 标准端口映射
    opengps
        4
    opengps  
       2018-03-09 11:43:20 +08:00
    换端口。
    不管是哪家云,默认的都是 22,3389,这种默认规则导致公网有大量自动扫描工具,扫到后自动暴力破解。我蹭有个测试机弱密码(密码是 Admin.123 )被爆破 ,然后攻击者用我服务器安装扫描器扫别人,我因此赚了一个扫描器,我的天,设置好网段自动检查。尤其是现在云计算厂商的 ip 段几乎都是能公开查到的,所以成功率居然挺高的。
    Applenice
        5
    Applenice  
       2018-03-09 11:49:03 +08:00
    之前有阿里云的机器,没改端口,天天被扫,短信邮件提醒。。。改完端口,安静的不行,哈哈哈
    LemonFlower
        6
    LemonFlower  
       2018-03-09 11:49:24 +08:00 via iPhone
    向对方的服务提供商投入
    LemonFlower
        7
    LemonFlower  
       2018-03-09 11:49:55 +08:00 via iPhone
    上一条有错字,是“向对方的服务提供商投诉”
    rapperx2
        8
    rapperx2  
       2018-03-09 12:33:45 +08:00
    以前也是被天天扫,改个端口就可以了
    duoguo
        9
    duoguo  
       2018-03-09 12:44:32 +08:00   ❤️ 1
    @opengps 求扫描器[doge]
    opengps
        10
    opengps  
       2018-03-09 13:37:39 +08:00
    @duoguo 在我老电脑里,现在电脑里没有,好像网上能搜到,名字不太清楚了,他是跑字典爆破的,好像是 4 个配置文件,一个存密码,一个存 ip,一个存系统帐号和端口,还有个记不清了。占用资源确实不多
    satanandroid
        11
    satanandroid  
       2018-03-09 14:20:27 +08:00
    1.改端口 别用 3389
    2.改弱密码
    flynaj
        12
    flynaj  
       2018-03-09 14:58:03 +08:00 via Android
    默认端口肯定被扫,22 23 80 3389 明天都有无数自动软件在扫
    c00WKmdje2wZLrSI
        13
    c00WKmdje2wZLrSI  
       2018-03-09 15:13:28 +08:00
    实在不行可以装个云锁,多次登录失败自动封 ip
    neuz
        14
    neuz  
       2018-03-09 16:17:17 +08:00
    @opengps
    @duoguo 难道是 Fast RDP Brute GUI [滑稽:dog]
    RainySeason
        15
    RainySeason  
       2018-03-09 16:30:06 +08:00
    各位老哥,我按 http://blog.csdn.net/gysea123321/article/details/51733567 改了端口远程连不上怎么办
    没开防火墙,腾讯云刚装的系统什么都没改。
    jpyl0423
        16
    jpyl0423  
       2018-03-09 17:16:57 +08:00
    @RainySeason #15 没用过腾讯云, 不过我猜是控制台有默认的防火墙规则, 试着开放你新设置的端口.
    likuku
        17
    likuku  
       2018-03-09 17:22:00 +08:00
    装 openssh server,只允许 key 认证登陆,防火墙只开放 22 端口,

    ssh 登陆,同时作 端口映射,把远程 win server 的 3389 端口映射到你本地工作站,
    本地工作站上远程桌面登陆这个映射到本地的 3389
    likuku
        18
    likuku  
       2018-03-09 17:22:49 +08:00
    #17 ssh 登陆,同时用 ssh 作端口映射
    Radeon
        19
    Radeon  
       2018-03-09 17:25:21 +08:00
    用 256 字节长的密码
    RainySeason
        20
    RainySeason  
       2018-03-09 17:49:04 +08:00
    @jpyl0423 控制台里已经加了新端口
    realpg
        21
    realpg  
       2018-03-09 18:04:07 +08:00
    不使用 3389 就是了 改成 13389
    wlwood
        22
    wlwood  
       2018-03-09 18:04:14 +08:00
    全球每天都有无数的软件、脚本扫描弱口令
    goodboy532
        23
    goodboy532  
       2018-03-09 18:51:45 +08:00
    @duoguo 可以学习下 hydra
    flynaj
        24
    flynaj  
       2018-03-09 23:08:45 +08:00 via Android
    @RainySeason 控制台改防火墙规则
    abcbuzhiming
        25
    abcbuzhiming  
       2018-03-09 23:45:02 +08:00
    有人扫你而已,别管,密码设复杂点就行
    isnowify
        26
    isnowify  
       2018-03-09 23:47:17 +08:00 via iPad
    我的 server 2016 和 centos 都在被扫…而且 server2016 的 IP 和你的一样
    密码设复杂一点就可以了
    xenme
        27
    xenme  
       2018-03-09 23:50:12 +08:00 via iPhone
    最简单就是云自带的防火墙默认全关掉,然后用的时候把自己的 IP 加进去放开或者把你经常用的网络所在 IP 段放开就行了
    WordTian
        28
    WordTian  
       2018-03-10 00:26:41 +08:00 via Android
    修改用户名 Administrator 为其他名字

    设置防火墙,使某端口仅允许特定 IP 段连接,可用安全组或其他防火墙软件,比如火绒
    mmdsun
        29
    mmdsun  
       2018-03-10 01:18:14 +08:00 via Android
    请问 win 的登录日志怎么看。看来我才是小白~
    Ehend
        30
    Ehend  
       2018-03-10 02:23:55 +08:00 via Android
    改端口,上 nginx
    wlwood
        31
    wlwood  
       2018-03-10 07:25:31 +08:00 via Android
    建议自己也用个东西自己扫描下,看看都开了啥服务,啥端口。把不用的服务端口关了。然后改登录端口, 登录的密码改长点(其实可以把密码用 MD5 或者 hash 自己的密码,得到的加密字符当密码),这样一般人就登不了了
    990148
        32
    990148  
       2018-03-10 08:58:00 +08:00
    先把补丁打上吧,查看有没有新建的用户,把密码重新设一次,OK
    745839
        33
    745839  
       2018-03-10 10:27:23 +08:00 via Android
    网络上 24 小时都有机器在扫,无差别无目标,扫到一个算一个。这有什么大惊小怪的。
    snsd
        34
    snsd  
       2018-03-10 16:09:56 +08:00 via Android
    @745839
    @flynaj 扫来干嘛,难道能搞钱?还是放病毒?
    yankebupt
        35
    yankebupt  
       2018-03-10 17:29:36 +08:00
    加个蜜罐,只要尝试扫描(或设置连接)你设置的蜜罐端口范围的直接 ban ip 10 分钟...
    我觉得一般人除了中毒或者被劫持应该不大可能去连你的蜜罐端口,当然也可能我有疏忽...
    感觉虽然这样对白帽不太友好但是觉得可能比较省事...
    745839
        36
    745839  
       2018-03-11 08:45:51 +08:00 via Android
    @snsd 扫到弱口令做肉鸡啊,黑产啊
    JoeoooLAI
        37
    JoeoooLAI  
       2018-03-12 17:49:25 +08:00
    既然同意 ip 直接在防火墙 ban 掉就可以了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1378 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 17:52 · PVG 01:52 · LAX 09:52 · JFK 12:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.