这是一个创建于 2442 天前的主题,其中的信息可能已经有所发展或是发生改变。
前几天上车腾讯云,装了个 win2008,今天本来想查看一下远程桌面日志,结果发现了一大片登录失败的日志,
应该是有人暴力登录猜解密码了.
懒得找图床了,简单描述下现象
审核失败, 事件 ID4625, 任务类型登录
失败原因%%2313,查了一下是登录用户名或密码错误的意思
有少数几个 ip 来自一个 58.20 开头的 ip 段,湖南湘潭联通的 ip
大部分日志的 ip 和 port 都是空
本人一个服务器小白,遇到这种情况怎么处理
应该是有人暴力登录猜解密码了.
懒得找图床了,简单描述下现象
审核失败, 事件 ID4625, 任务类型登录
失败原因%%2313,查了一下是登录用户名或密码错误的意思
有少数几个 ip 来自一个 58.20 开头的 ip 段,湖南湘潭联通的 ip
大部分日志的 ip 和 port 都是空
本人一个服务器小白,遇到这种情况怎么处理
第 1 条附言 · 2018-03-09 18:52:54 +08:00
参考这篇文章修改了远程桌面端口,
Win 系统如何修改远程桌面端口 3389 (两步搞定)_百度经验
https://jingyan.baidu.com/article/ce43664928d5293773afd39b.html
顺道修改了 vnc 和 proxy 的端口并加强了密码, 应该不会有问题了
日志里面也看不到登录失败的日志了
世界终于安静了
Win 系统如何修改远程桌面端口 3389 (两步搞定)_百度经验
https://jingyan.baidu.com/article/ce43664928d5293773afd39b.html
顺道修改了 vnc 和 proxy 的端口并加强了密码, 应该不会有问题了
日志里面也看不到登录失败的日志了
世界终于安静了
第 2 条附言 · 2018-03-09 22:31:02 +08:00
无语,刚清净了一会儿,又来了, 端口白换了
工作站名: LENOVO-YQ5O1802
源网络地址: 59.108.196.210
源端口: 5096
工作站名: WIN-68AUQSMETPA
源网络地址: 59.108.58.148
源端口: 18582
工作站名: WIN-68AUQSMETPA
源网络地址: 211.103.216.36
源端口: 28904
工作站名: WIN-68AUQSMETPA
源网络地址: 59.108.58.148
源端口: 11054
查了一下 ip, 两个都是北京宽带的
换着 ip 换着端口换着机器一直尝试登陆
看见日志有个匿名登录审核成功的,这种怎么办
安全 ID: ANONYMOUS LOGON
帐户名: ANONYMOUS LOGON
帐户域: NT AUTHORITY
工作站名: WIN-68AUQSMETPA
源网络地址: 59.108.58.148
源端口: 11054
怎么搞
工作站名: LENOVO-YQ5O1802
源网络地址: 59.108.196.210
源端口: 5096
工作站名: WIN-68AUQSMETPA
源网络地址: 59.108.58.148
源端口: 18582
工作站名: WIN-68AUQSMETPA
源网络地址: 211.103.216.36
源端口: 28904
工作站名: WIN-68AUQSMETPA
源网络地址: 59.108.58.148
源端口: 11054
查了一下 ip, 两个都是北京宽带的
换着 ip 换着端口换着机器一直尝试登陆
看见日志有个匿名登录审核成功的,这种怎么办
安全 ID: ANONYMOUS LOGON
帐户名: ANONYMOUS LOGON
帐户域: NT AUTHORITY
工作站名: WIN-68AUQSMETPA
源网络地址: 59.108.58.148
源端口: 11054
怎么搞
 |
1
XiaoFaye 2018-03-09 10:38:51 +08:00
防火墙 BAN 这个 IP 就行了,很简单。
|
 |
2
openbsd 2018-03-09 10:45:10 +08:00
换个端口会不会好点 ?
|
 |
3
yingfengi 2018-03-09 11:03:24 +08:00 via Android
不要使用 3389 标准端口映射
|
 |
4
opengps 2018-03-09 11:43:20 +08:00
换端口。
不管是哪家云,默认的都是 22,3389,这种默认规则导致公网有大量自动扫描工具,扫到后自动暴力破解。我蹭有个测试机弱密码(密码是 Admin.123 )被爆破 ,然后攻击者用我服务器安装扫描器扫别人,我因此赚了一个扫描器,我的天,设置好网段自动检查。尤其是现在云计算厂商的 ip 段几乎都是能公开查到的,所以成功率居然挺高的。 |
 |
5
Applenice 2018-03-09 11:49:03 +08:00
之前有阿里云的机器,没改端口,天天被扫,短信邮件提醒。。。改完端口,安静的不行,哈哈哈
|
 |
6
LemonFlower 2018-03-09 11:49:24 +08:00 via iPhone
向对方的服务提供商投入
|
|
7
LemonFlower 2018-03-09 11:49:55 +08:00 via iPhone
上一条有错字,是“向对方的服务提供商投诉”
|
 |
8
rapperx2 2018-03-09 12:33:45 +08:00
以前也是被天天扫,改个端口就可以了
|
1 |
10
opengps 2018-03-09 13:37:39 +08:00
@duoguo 在我老电脑里,现在电脑里没有,好像网上能搜到,名字不太清楚了,他是跑字典爆破的,好像是 4 个配置文件,一个存密码,一个存 ip,一个存系统帐号和端口,还有个记不清了。占用资源确实不多
|
 |
11
satanandroid 2018-03-09 14:20:27 +08:00
1.改端口 别用 3389
2.改弱密码 |
 |
12
flynaj 2018-03-09 14:58:03 +08:00 via Android
默认端口肯定被扫,22 23 80 3389 明天都有无数自动软件在扫
|
 |
13
c00WKmdje2wZLrSI 2018-03-09 15:13:28 +08:00
实在不行可以装个云锁,多次登录失败自动封 ip
|
 |
15
RainySeason 2018-03-09 16:30:06 +08:00
各位老哥,我按 http://blog.csdn.net/gysea123321/article/details/51733567 改了端口远程连不上怎么办
没开防火墙,腾讯云刚装的系统什么都没改。 |
 |
16
jpyl0423 2018-03-09 17:16:57 +08:00
@RainySeason #15 没用过腾讯云, 不过我猜是控制台有默认的防火墙规则, 试着开放你新设置的端口.
|
 |
17
likuku 2018-03-09 17:22:00 +08:00
装 openssh server,只允许 key 认证登陆,防火墙只开放 22 端口,
ssh 登陆,同时作 端口映射,把远程 win server 的 3389 端口映射到你本地工作站, 本地工作站上远程桌面登陆这个映射到本地的 3389 |
|
18
likuku 2018-03-09 17:22:49 +08:00
#17 ssh 登陆,同时用 ssh 作端口映射
|
 |
19
Radeon 2018-03-09 17:25:21 +08:00
用 256 字节长的密码
|
|
20
RainySeason 2018-03-09 17:49:04 +08:00
@jpyl0423 控制台里已经加了新端口
|
 |
21
realpg 2018-03-09 18:04:07 +08:00
不使用 3389 就是了 改成 13389
|
 |
22
wlwood 2018-03-09 18:04:14 +08:00
全球每天都有无数的软件、脚本扫描弱口令
|
 |
23
goodboy532 2018-03-09 18:51:45 +08:00
@duoguo 可以学习下 hydra
|
|
24
flynaj 2018-03-09 23:08:45 +08:00 via Android
@RainySeason 控制台改防火墙规则
|
 |
25
abcbuzhiming 2018-03-09 23:45:02 +08:00
有人扫你而已,别管,密码设复杂点就行
|
 |
26
isnowify 2018-03-09 23:47:17 +08:00 via iPad
我的 server 2016 和 centos 都在被扫…而且 server2016 的 IP 和你的一样
密码设复杂一点就可以了 |
 |
27
xenme 2018-03-09 23:50:12 +08:00 via iPhone
最简单就是云自带的防火墙默认全关掉,然后用的时候把自己的 IP 加进去放开或者把你经常用的网络所在 IP 段放开就行了
|
 |
28
WordTian 2018-03-10 00:26:41 +08:00 via Android
修改用户名 Administrator 为其他名字
设置防火墙,使某端口仅允许特定 IP 段连接,可用安全组或其他防火墙软件,比如火绒 |
 |
29
mmdsun 2018-03-10 01:18:14 +08:00 via Android
请问 win 的登录日志怎么看。看来我才是小白~
|
 |
30
Ehend 2018-03-10 02:23:55 +08:00 via Android
改端口,上 nginx
|
|
31
wlwood 2018-03-10 07:25:31 +08:00 via Android
建议自己也用个东西自己扫描下,看看都开了啥服务,啥端口。把不用的服务端口关了。然后改登录端口, 登录的密码改长点(其实可以把密码用 MD5 或者 hash 自己的密码,得到的加密字符当密码),这样一般人就登不了了
|
 |
32
990148 2018-03-10 08:58:00 +08:00
先把补丁打上吧,查看有没有新建的用户,把密码重新设一次,OK
|
 |
33
745839 2018-03-10 10:27:23 +08:00 via Android
网络上 24 小时都有机器在扫,无差别无目标,扫到一个算一个。这有什么大惊小怪的。
|
 |
35
yankebupt 2018-03-10 17:29:36 +08:00
加个蜜罐,只要尝试扫描(或设置连接)你设置的蜜罐端口范围的直接 ban ip 10 分钟...
我觉得一般人除了中毒或者被劫持应该不大可能去连你的蜜罐端口,当然也可能我有疏忽... 感觉虽然这样对白帽不太友好但是觉得可能比较省事... |
 |
37
JoeoooLAI 2018-03-12 17:49:25 +08:00
既然同意 ip 直接在防火墙 ban 掉就可以了
|
Select Language