在公司实习的时候,内网环境下经常使用 RDP 远程(win7)到自己家的电脑(win10,花生壳的动态域名+端口转发),然后这周一来的时候,发现内网的一台数据库服务器被黑了。然后那个数据库基本上只有我在用,断网隔离后领导让用 360 查毒是没有任何问题的,平时下载东西也是直接去官网下载的,但是我查系统日志也没有发现被陌生 ip 远程登录的日志,然后就很奇怪,不知道是什么问题。
1
ifxo 2020-08-12 09:51:07 +08:00
花生壳的问题
|
3
GeruzoniAnsasu 2020-08-12 09:57:45 +08:00 1
rdp 安全性有问题的可能性比你服务器没注意安全防护导致入侵的可能性小多了
你甚至都没描述怎么个“被黑了”法,是被写了马?挂了黑页?被拖库?文件被篡改了? 被黑也有可能是因为——业务逻辑漏洞?通用漏洞?不安全的端口映射配置?有弱密码? 开了远程登录的是你家电脑不是服务器,监听了 3389 的是你家电脑不是服务器,你咋联想到 rdp 上的 |
4
wtks1 2020-08-12 09:58:50 +08:00 via Android
windows 系统有没有打到最新的补丁?有没有安装安全软件?如果没有,那啥时候出问题其实都不算奇怪。RDP 本身如果打好了补丁是不容易出问题的,但 RDP 有磁盘映射选项,很多病毒就能通过这个玩意传播,所以安全软件还是得装的
|
5
peanut996 OP @GeruzoniAnsasu 公司测试环境的数据库被勒索,只剩一张表要求支付比特币的那种,我觉得跟我使用 RDP 没关系,但是奇怪的是内网另外一台数据库服务器上是正常的。之前也发生过一次类似的事件,但不是数据库。
|
6
peanut996 OP @wtks1 好奇的是我 client 使用的是一台内网设备,没有公网 ip,如果有我反而能理解了。。。
|
7
iloveayu 2020-08-12 10:06:35 +08:00
RDP 远程用户密码是否弱密码?
花生壳管理账户是否弱密码? 端口转发规则如何配置的,有没有直接将 3389 暴露于公网而被扫到? Winodws7 已经停止支持,为何还在使用? 终端的操作系统安全补丁是否安装到最新? 怀疑 RDP 协议的安全性前,应先考虑自己的使用习惯是否足够安全。 |
8
goofool 2020-08-12 10:10:00 +08:00 via Android
你家里电脑开了 RDP 服务,公司服务器被黑了,这跟 RDP 没有关系吧😥
|
9
peanut996 OP @iloveayu 想了一下可能是因为直接把家里的电脑的 3389 暴露了,弱密码问题应该不存在,可能就是这个问题了,端口转发是直接 win103389-内网路由 3389-带花生壳 DDNS 路由 3389,但是要是被黑不应该是我家的设备吗。。。
|
11
yzkcy 2020-08-12 10:44:05 +08:00
内网数据库服务器被黑有太多可能了。
比如服务器开放的一些服务存在漏洞; 比如服务器账号密码泄漏; 比如服务器存在 ms17-010 等漏洞; 比如服务器上数据库是弱口令或账密已经泄漏; ...... 至于 RDP 的安全问题,去年确实有一个漏洞 CVE-2019-0708 挺严重的(该漏洞检测工具 https://cert.360.cn/warning/detail?id=1caed77a5620fc7da993fea91c237ed5 ),不过及时更新就完了。 |
12
xieshaohu 2020-08-12 10:52:21 +08:00
数据库被加密,勒索。
应用是否有漏洞,通过应用的 SQL 注入,获得了操作数据库的权限。 数据库端口是否暴露在外网,弱密码或者数据库本身的漏洞导致被远程操控了。 |
13
chenluo0429 2020-08-12 11:23:29 +08:00
服务端使用花生壳暴露在公网环境下,客户端内网环境的数据库被黑,从字面意思上,两件事没有关联。我每天上 google,电脑被黑也不能赖到 google 头上吧?更大的可能是你或者同网络环境下的其他设备,因为有意或者被攻击导致了暴露在网络环境下,从而被作为跳板攻击到了数据库。
|
14
peanut996 OP @chenluo0429 确实 应该和 RDP 没关系,是我描述有问题。但是内网设备被攻击作为跳板的可能性是真的存在吗
|
16
kruskal 2020-08-12 11:39:17 +08:00 1
用 RDP 如果不配置其他安全措施至少也要配个 IPBan
https://github.com/DigitalRuby/IPBan/releases |
17
Tyuans 2020-08-12 12:02:38 +08:00
端口转发把 3389 转到别的口上避免被扫?
|
18
Oceanhime 2020-08-12 12:16:54 +08:00
内网机器是作为客户端的, RDP 安全隐患再大影响的也应该都是服务端而不是客户端, 也就是说如果 3389 出问题, 黑掉的也应该是家里的那台电脑。个人感觉和 RDP 以及 DDNS 没多大关系, 最多是一个和"内网数据库被黑"毫无关联的安全隐患罢了。
> 内网设备被攻击作为跳板的可能性是真的存在吗 在有安全措施的情况下比较难,但完全可以。取决于黑掉之后获得的利益是否大于攻破的成本。 |