远程办公使用 frp 中转 3389，结果因为密码太简单被黑了

密码

FRP

中转

请问

76 条回复 • 2021-11-11 17:48:54 +08:00

1

yamedie

2020-03-12 11:59:26 +08:00

frp 的 remote_port 也用了 3389 没有改端口吗?

2

scegg

2020-03-12 12:00:44 +08:00

如果能物理接触到电脑的话，还是有办法绕开密码的。但无法读取账户内加密的文件。

3

darknoll

OP

2020-03-12 12:04:20 +08:00

@yamedie 那肯定改了啊

4

fanne

2020-03-12 12:06:05 +08:00

第一次用 frp 时候，都是默认端口，简单密码，两台机都没黑了，后来只能铲了。

5

yamedie

2020-03-12 12:06:15 +08:00

@darknoll 那是不是用了老域名, 没有新建一个名字比较别扭的二级域名? 这是被人扫描到端口后侵入了

6

fanne

2020-03-12 12:07:24 +08:00

第一次用 frp 时候，都是默认端口，简单密码，两台机都被黑了，后来只能铲了；第二次再用 frp 改了端口跟密码，就稳了。

7

zrc

2020-03-12 12:08:58 +08:00

这么巧，我也之前也是，用 frp 然后电脑被黑了，密码倒是没被改，第二个打开后，看到电脑被打开了一堆东西，估计是在提醒我。

后来我就换了 mac。

8

klesh

2020-03-12 12:11:03 +08:00 via Android

1

感觉 frp 躺枪了

9

scegg

2020-03-12 12:12:28 +08:00

https://neseeef.wordpress.com/2017/09/28/reset-a-windows-10-password-with-cmd/
就是使用恢复盘进入修复模式，替换掉 osk.exe （虚拟键盘）
重启电脑，呼出虚拟键盘。

10

loginv2

2020-03-12 12:13:57 +08:00

1

frp 是有非暴露端口的方式连接的，两端都需要开 frp，密码认证正确才能建立连接，我一直用这个
因为之前 3389 被人爆破过

11

dremy

2020-03-12 12:28:02 +08:00 via iPhone

数据为先，先把 frps 断掉吧

12

syuraking

2020-03-12 12:30:32 +08:00

WIN 的远程连接，即使不用 3389 一样会被黑，最好的就是不用

13

xiaoz

2020-03-12 13:32:21 +08:00 via Android

楼主账号是默认的 adminstrator 吗？

14

mostkia

2020-03-12 13:34:42 +08:00

22 端口以前天天被人爆破，后来索性关了，使用 webssh

15

ik

2020-03-12 13:37:31 +08:00

我都是用 frp 中转 squid 端口, 通过 squid 连接内网的其他端口

16

xingyue

2020-03-12 13:41:21 +08:00 via Android

@loginv2 你好，请问被爆掉是什么情况下，frp 不是有 token 认证么，win 也有登录密码呀，初用 frp+rdp 中，慌得一~

17

xiaooloong

2020-03-12 13:47:07 +08:00

物理接触被黑的机器，u 盘 pe 强改密码。

18

wooyuntest

2020-03-12 13:49:55 +08:00

1

楼主说的应该是 3389 密码太弱被爆破了。
另外，各位最近最好关闭 445，因为 CVE-2020-0796 威力与永恒之蓝相当。

19

wslzy007

2020-03-12 13:51:14 +08:00

额，远程桌面服务千万不要暴露成外网端口，去年的 RDP 漏洞这么快就忘了？？系统漏洞可不会因为密码复杂它就安全了

20

whywhywhy

2020-03-12 14:21:05 +08:00

@wslzy007 先生，不管国内还是国外的服务器，无数 Windows Server 启用了远程桌面，打个补丁不麻烦，Windows 可没有那么脆弱，如果非要不打补丁，当我没说

21

mezhangkai

2020-03-12 14:28:49 +08:00

这个不是 frp 的锅吧。

22

Sharuru

2020-03-12 14:30:51 +08:00

RDP 有漏洞，3389 容易爆破。
公司有个人的电脑就因为暴露了 3389 被漏洞直接装了勒索病毒。

用 VPN 打洞到内网或者通过 P2P 模式可以有效提升安全性。

23

Mithril

2020-03-12 14:31:43 +08:00

@Sharuru 如何确定的是漏洞而不是爆破？

24

IITII

2020-03-12 14:35:16 +08:00 via Android

这应该是你自己密码太简单的原因，frp 纯属躺枪
请使用 frp 点对点加密

25

IITII

2020-03-12 14:37:08 +08:00 via Android

还有如果我没记错的话，rdp 是支持证书认证的，还有一件事，最好禁用默认账户 Administrator

26

NG6

2020-03-12 15:34:25 +08:00

我觉得这种工具都难用的很，你得一个端口一个端口的转发，直接用 v2ray 搞，简单又方便，跟 v*n 一样，免设置所有端口都可以访问，安全性还高

27

mahonejolla

2020-03-12 15:45:36 +08:00

@NG6 请教下，v2ray 这个是什么招数，这个软件不是富强的吗。在国内主机安装，这样连接可以远程桌面的吗？

28

FengMr

2020-03-12 16:15:04 +08:00

我之前也是用的 frp，现在都是 ZeroTier。

29

darknoll

OP

2020-03-12 16:26:55 +08:00

@loginv2 明白了，看了下说明书，应该是用 stcp 这种方式连接远程桌面

30

mcone

2020-03-12 17:20:02 +08:00

我也是 frp3389，但是我觉得在你这里面 frp 躺枪了

如果是自己的 frpc，一定要做好端口屏蔽，不需要的时候赶紧关了，你这敞开着，不就是给别人方便的么

31

qceytzn

2020-03-12 19:45:44 +08:00

@Sharuru 远程连接内网还有 P2P 的方式？代表软件是啥？

32

zjsxwc

2020-03-12 19:58:40 +08:00 via Android

frp 不是和域名绑定吗，还能暴力域名吗？

33

g079708

2020-03-12 20:16:53 +08:00 via iPhone

希望你没有中勒索病毒

34

ferock

2020-03-12 20:23:48 +08:00

瞎搞

35

evilic

2020-03-12 20:26:56 +08:00

先断网，然后 PE 启动删除密码，然后登陆看情况。
我自从 TEAMVIEWER 把我认为商业用途之后，就一直路由 NAT 到 PC 的 3389 端口。我过我用的是 DDNS，不清楚域名的人应该没办法永久连接我的电脑，IP 总是在变。

36

nmap

2020-03-12 20:47:06 +08:00

frp 的公网端口一定要加密啊不然太太太危险了！

37

ajaxfunction

2020-03-12 21:57:15 +08:00

我过年期间也是这个原因啊，我进去的时候正在拷贝文件，
我嫌重装系统麻烦，所以现在都没有安装，鬼知道有没有安装病毒什么的

38

ps1aniuge

2020-03-12 22:03:01 +08:00

1

原创 powershell 脚本：通过远程桌面 3389 黑名单，阻止黑客 ip
https://www.cnblogs.com/piapia/p/10922513.html

39

ps1aniuge

2020-03-12 22:04:46 +08:00

@syuraking winrm 远程连接的 4 个级别。有 2 个级别是使用肺对称密钥的，啥也不懂你。

40

ps1aniuge

2020-03-12 22:05:49 +08:00

赖法，强制启动，https 版的 winrm ---powershell 远程连接（ winrm ）的 4 个安全级别，详解

41

ps1aniuge

2020-03-12 22:06:00 +08:00

https://www.cnblogs.com/piapia/p/11897713.html

42

brotherlegend

2020-03-12 22:14:25 +08:00 via Android

我也用 frp，但没有任何一个默认端口的。

43

boboyu1010

2020-03-12 22:32:32 +08:00

frp 和 3389 端口躺枪，密码太简单是罪魁祸首。可以远程桌面可以设置为用证书登录。
建议处理步骤：
1、先停掉服务器的 frp ；
2、用 PE 进入电脑，清除原来管理员的密码，更改为复杂密码；
PS：建议把重要文件复制出来杀毒，然后重装系统，以免留下手尾。

44

boboyu1010

2020-03-12 22:35:22 +08:00

如果启用了 bitlocker，那本人暂时也束手无策

45

sarices

2020-03-12 22:59:56 +08:00

再来推荐一波 zerotier，加上自建 moon，见完全没任何问题

46

wangfei324017

2020-03-13 01:49:53 +08:00

额，为啥不试试改端口呢，，，改一个 5 位数高端口

47

qile1

2020-03-13 01:54:06 +08:00 via Android

我四台虚拟化服务器全部中毒，十几台服务器被挂马挖矿中！

48

hand515

2020-03-13 08:34:55 +08:00

只敢用 stcp 来暴露服务

49

pluto8528

2020-03-13 08:51:14 +08:00 via Android

家里用 ddns+端口转发 rdp 安全吗各位大神🙃

50

Ansen

2020-03-13 08:59:43 +08:00

1、不要用 administrator 这类常见的用户名
2、不要用弱密码

我用了好几年了，没出过问题。

51

meppy

2020-03-13 09:15:28 +08:00

@mostkia #14 改个端口不就好了

52

nicevar

2020-03-13 09:20:40 +08:00

@wangfei324017 @meppy 改端口有什么用，掩耳盗铃，nmap 扫一下就出来了，你试一下就知道了

53

Ainndy

2020-03-13 09:24:48 +08:00 via iPhone

难道你们不想问楼主的简单密码是什么吗

54

cuixiao603

2020-03-13 09:26:18 +08:00

@nicevar #52 这除非是被针对，否则对于黑客来说成本太高，黑客通常都是扫默认 3389

55

wangxiaoaer

2020-03-13 09:28:14 +08:00 via Android

@nicevar 除非目标明确，否则全网扫 IP, 然后每个 IP 扫端口？我觉得改端口还是有点用的，相当是隐藏自己，但万一被发现，若武功不就还是会被打死。

56

nicevar

2020-03-13 09:35:29 +08:00

@cuixiao603 你想多了，你以为现在这事都要由人来干？这种全局专门扫 3389 端口的自动程序 04 年就满天飞了

57

brotherlegend

2020-03-13 09:36:20 +08:00 via Android

@ps1aniuge 高手，膜拜。

58

cuixiao603

2020-03-13 09:42:19 +08:00

@nicevar #56 通常知道改端口的人安全意识较强，口令平均复杂度会高一些，即使扫的到也不太愿意尝试爆破，我的服务器之前没改端口每天会被疯狂尝试，改了之后就没收到过了

59

NSAgold

2020-03-13 09:47:24 +08:00 via Android

3389frp22😏
应该不会有人用 rdp 连 ssh 的默认端口都

60

nicevar

2020-03-13 09:52:55 +08:00

@cuixiao603 跟你说执行这些扫描爆破操作不一定是人肉操作，是已经早就写好的程序，3389、MySQL、redis、ssh 以及自动挖矿这些都是全自动的了，自动大范围找 ip 端扫描，然后自动爆破，自动植入木马再在入侵的机器又继续这些操作，又不耗自己的资源，你改个端口顶多降低一些针对特定端口的扫描程序