之前图方便,路由器六万高端口转发 3389 到家里一台电脑,后来无聊看了眼事件查看器,被隔壁 IP 破解了半个月 RDP 密码。我路由器每三天重启,光 IP 段就有 5 个,关闭端口转发之后消停一个月了,去年就被黑过一次四块硬盘数据全给抹了。 隔壁真是穷疯了,没事查查你们的 SSH 和 RDP 登录记录吧,我是防火墙禁用加 openVPN 内网访问了
1
i3x 2022-06-03 04:13:54 +08:00 via Android
怕被扫就各种 windows 防火墙。白名单。增加你可能的访问来路网段。例如运营商的宽带以及数据的公网 ip 即可。。。被黑只能是因为弱密或者不打补丁。有能力自己搞出 0day 大杀特杀的也没必要针对你一个,要干就 5 分钟扫描全球全部控制好了,随随便便分分钟摧毁整个互联网。
系统的防火墙太难设置或者技术不好,没有洁癖的就随便用一些服务器安全软件设置。可以设置的名单就更加全面了。比如限制连接的计算机名,或者需要特定二次验证等等。 而改端口相对来说已经没有什么用了。 还有,开启了 rdp 安全,其实很多扫爆软件已经没用了,不知道你开了没。。。 根据我的白名单方法。除非发起者跟你同地区,如果你在国内,发起者跟你同地区,虽然你没有任何损失,但是你可以报警,确定会迅速定位扫爆发起者。。对网安来说相当于白给 KPI 。。。。。这种情况可大可小,就看怎么处理了。完整流程只要半个小时就找出发起者了。 |
2
chengfeng1992 2022-06-03 04:30:50 +08:00
|
3
jsyangwenjie 2022-06-03 04:41:14 +08:00
直接用 tailscale 或者 wireguard ?
|
4
uqf0663 2022-06-03 05:18:44 +08:00 via Android
家里公网 ip 高端口开着 rdp 十来年了,5 字母用户名(不是 admin )+5 字母 3 数字密码,目前暂未被成功搞过,主要在外面各种环境想随时随地可以连回家,搞 vpn 会不方便
|
5
fateofheart 2022-06-03 05:44:26 +08:00
rdp 直接白名单放 vps 的 ip ,跳板访问,vps 的 ssh 禁止非证书登陆。。。随便扫,能进去算我输
|
6
cloudsigma2022 2022-06-03 06:27:40 +08:00
wireguard
|
7
advancejar 2022-06-03 07:27:02 +08:00
rdp 开了多年了,端口换成 5 位数字的
|
8
jemyzhang 2022-06-03 08:15:15 +08:00 via Android
rustdesk+自建 relay ,值得拥有
|
9
A3 2022-06-03 08:42:00 +08:00 via Android
为啥用 3389
|
10
DataSheep 2022-06-03 08:42:14 +08:00 via iPhone
@advancejar 单纯改端口没任何作用,没出问题只是可能你的账户名和密码比较强
|
11
Illusionary 2022-06-03 09:29:12 +08:00
wireguard 好用的一比,外网拉家里 NAS 文件都打满上传带宽
|
12
dearmymy 2022-06-03 09:52:05 +08:00
@jsyangwenjie tailscale 真心挺好用。。
|
13
pppguest3962 2022-06-03 11:00:39 +08:00
3389<-TCP_NAT->3389 ,直接 RDP 默认端口映射,你这是把羊放到狼群里,
怎么野德吧 outside 那边的端口改一下吧,我改成 5 位数的端口,7 年了,一个摸门的都没有 |
14
cjpjxjx 2022-06-03 11:30:05 +08:00 1
RDP 被暴力破解 99%的情况:使用默认端口、administrator 用户、弱口令
可用端口六万多个,但凡改个五位数端口就已经过滤掉 99%的爆破; 自定义用户名,禁用 administrator 用户,至少再过滤掉 99.99%的爆破; 再使用强密码,直接被暴破成功的概率相当于小行星撞地球。 |
15
huaes OP @chengfeng1992 我是被一个 IP 破了半个月,我也是服了
|
18
huaes OP @cjpjxjx 改端口其实作用不大,现在也就 windows server 才用默认用户名了,我之前被黑那次密码十几位,现在都是三十位起
|
19
huaes OP @fateofheart 用 RDP 就是为了延迟和画质,开了显卡加速之后 50Mb 上传都不够,VPS 中转那就是个垃圾还不如直接向日葵
|
21
wolfmei 2022-06-03 12:13:11 +08:00
我用山石 SCVPN ,暂时还行。
|
22
SenLief 2022-06-03 12:13:50 +08:00
wireguard
这货好用。 |
23
iamvx 2022-06-03 12:24:40 +08:00
改高端口,改强密码,改管理员帐户名。 登录桌面不显示帐户名,需要手动录入。并且把 administrator 改成其他的帐户名,然后建一个 guest 帐户叫 administrator 再把这个帐户禁用。
另外,另外,设成尝试 3 次口令错误即锁定该帐号 10 分钟之内不能登录。让他破个千百年去。 |
24
oreader996 2022-06-03 15:19:56 +08:00 via Android
有一个疑问,openvpn 也是得开放端口出去的吧
|
25
qbqbqbqb 2022-06-03 15:52:47 +08:00
|
26
flynaj 2022-06-03 16:07:25 +08:00 via Android
IPv6 默认端口直接暴露,一年没有问题。
|
27
piloots 2022-06-03 17:28:03 +08:00
近七天远程桌面被爆破 39709 次,建议修改远程桌面端口.
|
28
cwek 2022-06-03 17:43:48 +08:00
SSH ,就算不是标准端口,,机器也只是偶然连续开两三天,一样被世界各地敲门(已经设了关闭账户密码登录)。
这些可远程控制的,不建议直接暴露外网。 |
31
allanpk716 2022-06-03 18:15:21 +08:00 via iPhone
@cjpjxjx 改端口是没用的,RDP 协议有特征。老实用白名单和 VPN 吧。
|
32
vhus 2022-06-03 18:18:11 +08:00
家用成品路由器的防火墙功能很差,软路由相对好些。
所以一直在用 routeros 。 自从把 ICMP 协议禁止掉日志就清爽很多了。 家里路由仅仅开了 ovpn 和 PT 的端口,并且都改到 6XXXX 以上。 |
33
star187j3x1 2022-06-03 20:01:14 +08:00
vpn 和端口映射,安全性不一样吗?,,
|
34
huaes OP @star187j3x1 VPN 就是为了安全加密设计的,windows 漏洞太多了,内网和外网访问的安全性都不在一个量级上
|
35
digimoon 2022-06-03 20:10:40 +08:00
服务端口我都是非国内 ip 全封的
|
36
brucmao 2022-06-03 21:07:43 +08:00
我擦,感觉看了一下,这么多尝试登录,感觉取消端口转发
https://s3.bmp.ovh/imgs/2022/06/03/117d66ff147b3416.png |
38
Les1ie 2022-06-03 23:44:15 +08:00
即使 RDP 使用了强密码,但是 RDP 协议本身是可能存在漏洞的,比如 CVE-2019-0708 。
如果你的 Windows 版本在受影响范围内,比如 win7, win server 2008 ,且未更新补丁,并且再非常不巧,机器的 RDP 端口暴露到了公网中,攻击者无需密码就可以进入你的系统。 建议还是映射 VPN 的端口到公网,至少目前 wireguard/OpenVPN 暂时没有严重的漏洞。 |
41
pagxir 2022-06-04 00:53:01 +08:00 via Android
remmina 可以 rdp over ssh ,你设置 ssh 用 key 鉴权既可以
|
42
m1nm13 2022-06-04 01:14:07 +08:00
想起来春节,服务器开放了 SSH 端口,结果被打下来,挖了半个月的矿。。。。
|
43
jousca 2022-06-04 01:15:43 +08:00
@huaes 1 、系统自动升级开没开?不打补丁被黑那是活该。2 、账户安全策略,密码错误 5 次锁半个小时起步。3 、口令不符合你的社工库。就是这个密码不要用于其它地方。千万别一个密码到处用……
不要小看微软的安全系数,目前网上被中招的大部分都是连自动升级都舍不得开的。 |
44
huaes OP @jousca 正版 Key 激活 win10 专业版自动更新没事就给我重启,并没卵用照样被黑。谁有那功夫把每一台机器组策略都加满, 再说了,windows 的漏洞还少吗
|
45
philippiela 2022-06-04 08:55:52 +08:00 via iPad
@fateofheart 我也是这么搞的,能扫进去的人估计都去扫中情局的数据库
了 |
46
derekwei 2022-06-04 11:46:58 +08:00
比较好奇隔壁国家是哪个,ru ?
|
48
lau52y 2022-06-04 15:42:59 +08:00 via iPhone
插楼问一下,怎么搭建那种,vpn 才能连接服务器的
|
51
lqzhgood 2022-06-04 16:45:16 +08:00
楼主重启会变 IP 的么?
|
53
jemyzhang 2022-06-04 22:51:15 +08:00 via Android
@huaes 按照你的描述你应该有公网,既然有公网还要 vps 中转干啥,直接本机建 relay 就行了,延迟和画质都能保证
|
54
q1angch0u 2022-06-05 05:41:16 +08:00 via iPhone
可以了解一下 censys 、rapid7 ,有人替他们扫,肉鸡只负责攻击就好
|
55
Showfom 2022-06-05 17:19:22 +08:00 1
|
56
lihui114514 2022-06-05 20:59:08 +08:00
想问下我用的 HW 路由器可以在 APP 里远程设置 DMZ 设备,在用的时候把需要远程的设备暴露出来,不用的时候就把 DMZ 关掉这种方案如何呢
|
57
guanzhangzhang 2022-06-06 09:23:58 +08:00
你这种端口转发就是应用暴漏在外面了,你用 openvpn 和 wireguard 这种先认证对了才能连上内网的就不存在这种问题了,特别是 wireguard 是非堆成密钥加密,其次它还是工作在内核态
|
58
huaes OP @guanzhangzhang wireguard 这玩意我记得刚出的时候就是为翻墙准备的,兼容太差,难不成我还为了它装个 Linux
|
59
tvirus 2022-06-06 13:54:12 +08:00
装这个叫 RDP Defender 软件试一试
|
60
dream2cast 2022-06-06 14:02:55 +08:00
个人感觉把 RDP 直接暴露在公网上的都是狠人
|
61
huaes OP @dream2cast 其实无论是端口转发还是改端口都没用,会被检测协议的
|
63
07ly 2022-06-06 14:41:21 +08:00
@huaes wireguard 可不是为了翻墙准备的,要是用它来翻墙那分分钟被请喝茶,特征太明显。wireguard 还是用来组网比较适合,windows 电脑或者路由器开个 wireguard 客户端,配置下本地和对端 peer ,做个端口转发。再在另一台设备上把两边信息配置好就能组网了
|
64
huaes OP @07ly 还是那句话,用过,兼容太差,扔一边了。这东西组网不如 Zerotier ,简易性兼容性都不如路由器电脑自带 VPN 。甚至都不如 SoftEther
|
65
guanzhangzhang 2022-06-06 15:20:54 +08:00
@huaes 兼容性没啥问题,我 op 和 Linux 上都配置过,我博客还写了笔记,有个 r2s 的小白看了按照配置了都跑起来了,zerotier 兼容性才差,下发路由慢(ecs 上 docker 容器起的),腾讯云和阿里云上搭建过 moon ,速度都不咋的
|
66
huaes OP @guanzhangzhang 关键问题在于我不用 Linux 和 OP 啊,硬路由能解决的我干嘛非要在装个虚拟 OP 呢,说真的折腾这么多年网络 OP 类软路由除了翻墙和大宽带汇聚其他场景没什么用,还多了维护成本。折腾那么多除了看起来爽没什么实用性,网络整体稳定性才是我看重的,硬路由 VPN 除了加解密性能低点没什么缺点,不过两三百兆也够用了
|
67
huaes OP @guanzhangzhang 任何需要二次安装的都逃不过稳定性问题,VPN 是远控类软件也是,zerotier 我也就卸载了,现在就靠路由器自身 openVPN 外加两台向日葵控控, 服务器路由器都炸了也不怕
|
70
lzyliangzheyu 2022-06-06 20:05:37 +08:00
你 windows 是 24 小时开机的吗,我是默认 3389 端口,但是每次都是要用电脑之前先用 wake on lan 唤醒,用完就关机的,主要是待机动辄几百瓦的功耗太费电了
|
71
huaes OP @lzyliangzheyu 几百瓦不至于,windows 台式无负载一百瓦左右因为有块 2080 ,双路服务器无负载也才两百瓦,这点电才几块钱,台式机经常开关机才容易出问题,实验室的机器都是几年不关机的
|
73
ppbaozi 2022-06-14 18:21:39 +08:00
|
74
sh570655308 2022-06-21 16:35:12 +08:00
我以前是路由器建 SS 服务器再连回去的,现在直接用 ipv6 了
|