V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ppbaozi
V2EX  ›  宽带症候群

开放了一台无密码的 win7 虚拟机远程桌面到公网看神仙打架

  •  2
     
  •   ppbaozi · 2022-01-24 01:31:28 +08:00 · 7441 次点击
    这是一个创建于 1030 天前的主题,其中的信息可能已经有所发展或是发生改变。

    是这样的

    这台 win7 在内网 esxi 上面,管理员账号设了复杂密码,没可能被暴力破解 新建了一个 Users 组的用户:admin ,无密码,允许远程桌面登陆和无密码登陆,直接使用 3389 标准端口对外开放

    win7 自带防火墙加了两条出站规则:

    1. reject 到内网网段所有协议的流量,除了 dns 服务器
    2. reject 到 dns 服务器的 tcp 协议流量

    那么理论上

    admin 用户的文件修改权限仅限 C:\Users\admin 目录

    没有系统级配置的修改权限,包括网络,防火墙,组策略,注册表等等等等

    对内网的威胁仅限 dns 服务器非 tcp 流量的情况,dns 服务是 openwrt

    主路由是 routeros ,开放有 mac-winbox 服务,测试发现 win7 的防火墙是不管二层协议的,可以用 winbox 走 mac 协议直达主路由,不过我没在 ros 再加策略,我觉得风险不大,ros 密码强度也足够

    那么我想问我家里网络沦陷的风险有多大?我内网里还有群晖、安了 debian 的笔记本、华硕路由,我是不是在玩火?😆


    已经开放 1 天,上百条 tcp 扫描,目前情况是

    桌面被换,\Users\admin 目录下一些文件被替换成所谓的 encrypt 文件

    浏览记录里有“黑客”中转病毒的地址

    其他一些正常

    还有,,每隔几分钟就会有人来挤出登陆

    第 1 条附言  ·  2022-01-24 12:42:40 +08:00

    看了些评论 纠正下admin是属于Guests组,就是访客用户,原则上比Users权限更低的些,虽然我不知道具体差别是什么

    一个无补丁的win7肯定存在各种漏洞这我知道,但是作为个测试机,即使提到管理员权限也无所谓,权当测试玩一玩

    对于内网其他设备的风险也没有很在意,其实没有多少值得被攻击的设备,大多数都是esxi的虚拟系统,都有密码,都有快照

    我只给它分配了一个虚拟cpu,考虑到了可能会被用来暴力破解,所以限制一下性能

    我会有点担心的是:

    • esxi的虚拟层会不会被绕过直接黑掉esxi
    • routeros会不会存在漏洞被绕过身份校验,它本身就是个完全暴露在公网的设备,可能性应该比较低
    第 2 条附言  ·  2022-01-25 00:59:35 +08:00
    1 月 25 日
    竟然无事发生,没有被登陆过的痕迹
    第 3 条附言  ·  2022-01-26 20:34:50 +08:00
    2022-01-26 更
    已经连续两天没人光顾了,只有扫描没有登录,怪事
    第 4 条附言  ·  2022-01-27 01:42:21 +08:00

    2022/01/27 1:35 更

    终于有人光顾了

    对方ip:58.33.75.54 ,上海电信家宽?

    试图大量向外扫3389,reject处理...

    第 5 条附言  ·  2022-01-28 00:57:12 +08:00
    2022/01/28 00:40
    今天中 2 次同款勒索病毒,他会运行一个 cmdenter.exe 的后台进程 cpu 常常占用 100%,没有网络流量不知道他是干嘛的。有一个开机启动放在开始菜单-启动里面。。。这种级别的病毒 kill 掉就一切正常了,没啥东西

    调整下安全配置:
    win:在管理员账号下写了个守护脚本把 user 目录下 cpu 占用超过 90%,cpu 时间超过 5 分钟的进程直接 kill
    esxi:限制虚拟 cpu 频率:1G
    路由器:限制向外发包速率 5p/s ,vlan 隔离了虚拟机,二层也无法通到我内网了,在它 vlan 下专门部署了一个 openwrt 转发所有流量出海,免得用我的 ip 搞事情,进来的人还能留学嘻嘻
    第 6 条附言  ·  2022-01-31 13:45:01 +08:00

    2022/01/31

    几天下来无非就是勒索病毒、扫内网服务和一次门罗币挖矿,没别的新鲜玩意儿了

    扫描和挖矿的只要cpu时间超过存活时间的30%运行2分钟以上,就会被我脚本kill

    有个人发现没法玩,离开前还把他的工具都删了,搞笑的

    43 条回复    2022-09-22 02:07:15 +08:00
    felixcode
        1
    felixcode  
       2022-01-24 01:36:49 +08:00   ❤️ 13
    可以用你家里的 IP 发布一些严重的言论或消息,然后追查到你头上。
    还是小心为好。
    eason1874
        2
    eason1874  
       2022-01-24 01:50:45 +08:00
    你认为这是一个蜜罐

    黑产认为这是一个跳板机
    ppbaozi
        3
    ppbaozi  
    OP
       2022-01-24 01:52:58 +08:00
    @eason1874 😏目前没有被跳板迹象
    ppbaozi
        4
    ppbaozi  
    OP
       2022-01-24 01:53:52 +08:00
    @felixcode 有道理,我多关注一下,我可以让它所有流量走留学
    crab
        5
    crab  
       2022-01-24 02:27:40 +08:00
    win7 补丁打全了?
    ppbaozi
        6
    ppbaozi  
    OP
       2022-01-24 02:38:47 +08:00
    @crab 无补丁的原版 iso
    v2tudnew
        7
    v2tudnew  
       2022-01-24 02:43:52 +08:00
    把 IP 也放上来,让大伙帮你测试一下。
    ppbaozi
        8
    ppbaozi  
    OP
       2022-01-24 02:45:01 +08:00
    @v2tudnew 那有点不敢,毕竟这里都是大佬
    jaycong2019
        9
    jaycong2019  
       2022-01-24 02:46:42 +08:00 via Android
    哈哈,坐等更新
    cjpjxjx
        10
    cjpjxjx  
       2022-01-24 07:38:31 +08:00 via iPhone
    第二天,因楼主家的 IP 被用于发布反动言论被警察带去喝茶
    xupefei
        11
    xupefei  
       2022-01-24 07:40:48 +08:00 via iPhone
    目前已知的 uac bypass 机制不知道还有没有能用的,有的话你的防火墙规则肯定是守不住的。
    GPLer
        12
    GPLer  
       2022-01-24 08:27:14 +08:00
    《空 手 套 病 毒》 XD
    chenjunqiang
        13
    chenjunqiang  
       2022-01-24 08:28:37 +08:00
    已经中了勒索病毒了吧?我前阵子刚看到这个界面。哈哈,我也中了。
    ladypxy
        14
    ladypxy  
       2022-01-24 08:29:45 +08:00
    win 的 user 权限大的多,楼主这是作死。。
    maskerTUI
        15
    maskerTUI  
       2022-01-24 08:55:24 +08:00
    能放 ip 吗,我进去提个权
    nutting
        16
    nutting  
       2022-01-24 09:06:43 +08:00
    打到 xxx
    jasonyang9
        17
    jasonyang9  
       2022-01-24 09:24:08 +08:00
    没打补丁的话你这些防御手段是不可靠的啊,因为有漏洞
    czfy
        18
    czfy  
       2022-01-24 09:29:45 +08:00
    没想到 wetransfer 还能被这么用..
    jasonyang9
        19
    jasonyang9  
       2022-01-24 09:31:53 +08:00
    弄一台 Linux 装了 RDP 服务端像这样暴露出去是怎样的情形?
    RDP 默认 3389
    root 密码超复杂
    admin 帐号,无密码
    本机防火墙和路由器防火墙 2 道关卡
    呵呵
    Felldeadbird
        20
    Felldeadbird  
       2022-01-24 09:34:03 +08:00
    不怕 0day 提权吗?
    jiangyang123
        21
    jiangyang123  
       2022-01-24 09:40:40 +08:00
    最好单独放一个独立网络下面,要不把你局域网其他设备攻击了
    jiangyang123
        22
    jiangyang123  
       2022-01-24 09:41:10 +08:00
    真想玩其实应该去开一台 vps
    Greenm
        23
    Greenm  
       2022-01-24 10:01:35 +08:00
    网络上的大部分是自动化脚本和病毒,只有普适性没有针对性,如果你把 IP 发出来让大家手工上去看,分分钟就没了。
    zerohzd
        24
    zerohzd  
       2022-01-24 10:19:53 +08:00
    不打补丁,内网映射公网。你这也太看不起各种提权漏洞了吧
    mscsky
        25
    mscsky  
       2022-01-24 10:24:08 +08:00
    要被内网漫游了
    kokutou
        26
    kokutou  
       2022-01-24 10:30:41 +08:00
    user 可能会有提权的。。。
    BeautifulSoap
        27
    BeautifulSoap  
       2022-01-24 11:53:19 +08:00
    @Felldeadbird LZ 这虚拟机何德何能值得让黑客用 0day 漏洞来攻击他啊
    ppbaozi
        28
    ppbaozi  
    OP
       2022-01-24 12:25:26 +08:00
    @BeautifulSoap 估计看了硬盘空空如也都退出登录了...
    systemcall
        29
    systemcall  
       2022-01-24 12:49:29 +08:00
    试一下这样做:
    开个虚拟机,CPU 型号写个老点的奔腾,内存 4G ,填充一些随机生成的 excel 表格,假装是台办公用的电脑
    还要虚拟一个打印机,这个 CUPS 随便弄弄就好,假装是真打印机,不需要可以打出来东西,只需要让脚本小子以为是台打印机就好
    办公电脑多一点。内存方面可以用内存交换,反正也不是你用
    假装有台电脑配置失误,公网 IP 出去了。这台电脑就是你的这个电脑。上面放一些办公软件,比如 winrar.rar ,还有梯子
    jackmod
        30
    jackmod  
       2022-01-24 13:37:52 +08:00
    吓得我赶紧检查了一下吃灰派的安全措施
    shyrock
        31
    shyrock  
       2022-01-24 16:03:42 +08:00
    所以 windows 远程桌面有没有办法加入二次验证呢?
    codingadog
        32
    codingadog  
       2022-01-24 16:13:32 +08:00
    坐等楼主被日穿(手动狗头

    万一遇到一个牛逼的透出虚拟机环境了就凉了
    Reficul
        33
    Reficul  
       2022-01-24 16:17:55 +08:00   ❤️ 1
    虽然概率不大,但是 0day 虚拟机逃逸的话,就被日穿了
    ppbaozi
        34
    ppbaozi  
    OP
       2022-01-24 21:31:34 +08:00
    有情况,我在公司 ping 不通家里了,有点小慌了🌚
    reiji
        35
    reiji  
       2022-01-25 00:31:06 +08:00 via Android
    完结撒花
    ppbaozi
        36
    ppbaozi  
    OP
       2022-01-25 00:46:06 +08:00
    问题不大,看起来是家里停了一次电
    cuicuiv5
        37
    cuicuiv5  
       2022-01-25 01:15:44 +08:00 via Android
    有意思,可以拿 vps 玩一下
    0lobster0
        38
    0lobster0  
       2022-01-26 08:54:45 +08:00
    坐等 lz 更新
    zong400
        39
    zong400  
       2022-01-26 15:43:15 +08:00
    什么时候更新
    ppbaozi
        40
    ppbaozi  
    OP
       2022-01-27 02:11:02 +08:00
    @zong400 已更新
    zong400
        41
    zong400  
       2022-01-27 16:34:30 +08:00
    @ppbaozi 没中挖矿病毒?不应该啊
    ppbaozi
        42
    ppbaozi  
    OP
       2022-01-27 19:58:46 +08:00
    @zong400 单核没显卡能挖个啥
    yuange1975
        43
    yuange1975  
       2022-09-22 02:07:15 +08:00
    蜜罐软件可以抓到很多东西的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1006 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 21:48 · PVG 05:48 · LAX 13:48 · JFK 16:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.