找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
广告投放联系QQ68610888
查看: 3041|回复: 12

内网被攻破了,求教大神

[复制链接]
发表于 2021-10-20 02:29 | 显示全部楼层 |阅读模式
本帖最后由 aries0000 于 2021-10-30 18:21 编辑

拓扑为:光猫-esxi虚拟爱快-虚拟openwrt-各设备,有公网ip,开了ddns,常用机器都做了端口转发。

今天用个人电脑的时候,连续被远程登录踢出桌面,知道不对劲了,查看果然win10系统的nas被攻破了,断网准备抓现行,接上显示器一看,这家伙正开着凭证管理器,试我内网的各种设备密码,还开个记事本记录,我三台电脑的密码已经写在上面了,看了下资料盘,还没被毁坏,应该是刚黑进来,
只怪我nas登录密码太简单了,就四位数字,想着也是方便自己,抱侥幸心理了。

现在重置了公网IP,DDNS换了个域名,常用机的密码改了复杂密码,两台路由器的日志看了下,没有异常,路由的密码应该没泄露吧。

求教大佬,从发觉被黑到断网也就一两分钟,应该没机会留别的后门吧,如果要防止这种情况再发生,所有设备设置复杂密码够了吗?请问还有没有别的要注意的地方。

我准备路由设置个每周重登录,换IP,但是域名计划用一年呢,路由的80、 22等端口都换了,请教下大佬,还有什么措施可以做。谢谢

---------更新----------------------------------------------------------------------
经过查找,可能还是被留后门了,现在几台泄露密码的客户机几经全盘格式化了,NAS因为资料重要,没格只重做系统,并做全盘杀毒,好多exe文件报感染,已经清理了。
现在路由上关闭了upnp,端口转发全关了,有需求的设备安装了openv.pn,通过密钥连接。所有的客户机全盘格、重做系统,改管理员账户名,改3389端口,设置强密码。
现在仍有个问题,查看NAS安全日志,有一些4625审核失败的报告:

经过几天的观察,每天都会有十几条,出现时间随机,似乎是若干连续的端口扫描,几台客户机只有我自己用的这台发起请求。
因为NAS的3389端口已经改了,账户名改了,密码也是强密码,这种攻击大概也不能奏效,但是心里很膈应。

PC机是全盘格式化过的,端口、账号密码都和以前不同,用wireshark抓包和进程分析也没看出什么可疑,
请教大佬如何把这个程序抓出来?

因为我需要调用共享文件,不能关139/445之类的端口,还有什么办法封禁这个程序吗?

谢谢

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
我的恩山、我的无线 The best wifi forum is right here.
发表于 2021-10-20 11:32 | 显示全部楼层
弱口令神仙都救不了
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-10-20 11:53 | 显示全部楼层
以前给客户装的华三路由,心大,路由默认密码没有改,临时应急用的,没想到,被黑客登陆,把路由存储芯片格式化了,固件都丢了,结果返厂才修好的
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-10-20 12:31 | 显示全部楼层
我也是有公网IP,但是我不用,我用这个公网IP建了个FRPS,然后所有的转发都走这个FRPS

点评

怎么玩,谢谢  详情 回复 发表于 2021-10-22 03:16
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-10-20 12:51 | 显示全部楼层
没直接搞个勒索病毒
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-10-20 21:34 | 显示全部楼层
你确定他是第一次来吗?哈哈,密码复杂度其实是个伪命题,够长才最重要,建议10位起步
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-10-21 16:00 | 显示全部楼层
弱口令神仙都救不了 +1
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-10-22 03:16 | 显示全部楼层
z30724639 发表于 2021-10-20 12:31
我也是有公网IP,但是我不用,我用这个公网IP建了个FRPS,然后所有的转发都走这个FRPS

怎么玩,谢谢

点评

群晖DOCKER搜FRPS,百度下一大把  详情 回复 发表于 2021-10-22 12:30
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

 楼主| 发表于 2021-10-22 10:32 | 显示全部楼层
经过后来复查,确实是准备种勒索病毒,还好断网快,当时他的加密工具有一大堆,已经复制到我电脑里了,这也是让我长个记性,这两天把NAS系统重做了,对外端口全关了,用的时候再临时开,麻烦点没办法,数据丢了就完蛋了
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-10-22 12:30 | 显示全部楼层

群晖DOCKER搜FRPS,百度下一大把
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-10-22 16:03 | 显示全部楼层
把外网转发端口改了吧,更重要的路由器重置一下吧,估计先攻破了路由器
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2021-10-22 16:05 来自手机 | 显示全部楼层
回家走virtual**啊 不影响网速 用证书人家也黑不进来 用密码总归觉得不安全
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

 楼主| 发表于 2021-10-23 11:51 | 显示全部楼层
看过路由器日志,还没攻破,之前破绽在把NAS的远程桌面端口转发了,还是弱密码,黑客通过NAS直接操作攻击的。

目前已经把所有机器设为强密码,改了默认账号名;
路由器架设openv.pn,外网只有我自己的笔记本有ovirtual**秘钥;
关闭了所有带控制权的服务端口转发,只留了个媒体推流的端口,有时候还是要调电影看的。
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

有疑问请添加管理员QQ86788181|手机版|小黑屋|Archiver|恩山无线论坛(常州市恩山计算机开发有限公司版权所有) ( 苏ICP备05084872号 )

GMT+8, 2024-3-29 07:28

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

| 江苏省互联网有害信息举报中心 举报信箱:js12377 | @jischina.com.cn 举报电话:025-88802724 本站不良内容举报信箱:68610888@qq.com 举报电话:0519-86695797

快速回复 返回顶部 返回列表