V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wangweitung
V2EX  ›  宽带症候群

换了 win11 才发现自己电脑一直在被爆破

  •  
  •   wangweitung · 2024-08-15 23:07:23 +08:00 · 6503 次点击
    这是一个创建于 382 天前的主题,其中的信息可能已经有所发展或是发生改变。

    RDP 时一直提示“为安全考虑,已锁定该用户账户,原因是登录尝试或密码更改尝试过多”。

    我心想我自己密码没输错啊,咋一直这提示。

    后来搜索了下,可以查看攻击者 ip:

    https://e673.com/windows-remote-desktop-rdp-account-locked/

    如果你想查看攻击者的 IP 地址,打开 事件查看器——windows 日志——安全,在审核失败的日志上双击,找到网络源地址就是攻击者的 IP ,当然,这个 IP 极大概率是肉机或者代理的 IP 。
    

    看了下,大多数 ip 如下:

    79.124.56.186
    141.255.167.50 
    46.19.142.242
    

    而且尝试爆破的频率很高,基本上 20-30s 左右就爆破一次。

    要是 win11 有像群晖一样,超过几次失败,直接 block ip 的功能就好了。

    第 1 条附言  ·  2024-08-15 23:53:45 +08:00
    37 条回复    2024-08-17 21:36:28 +08:00
    learnshare
        1
    learnshare  
       2024-08-15 23:09:10 +08:00
    火绒
    s4nd
        2
    s4nd  
       2024-08-15 23:39:14 +08:00
    win10 有没有软件能发现电脑有没有在被爆破
    leewi9coder
        3
    leewi9coder  
       2024-08-15 23:49:02 +08:00
    为什么我的日志里源网络地址: 127.0.0.1
    dizhang
        4
    dizhang  
       2024-08-15 23:59:38 +08:00
    妈呀,查了一下日志,几分钟一次 winlogon ,奇怪的是我把电脑的 3389 映射到了路由器上另外一个端口,比如说 386 这个端口,我自己连回家的时候就是用的 ip 加 386 这个端口的方式,那么这些攻击的机器怎么会知道这个端口的然后不断尝试的?
    osilinka
        5
    osilinka  
       2024-08-16 00:01:11 +08:00
    How to Whitelist an IP Address for RDP
    Daming
        6
    Daming  
       2024-08-16 00:27:34 +08:00   ❤️ 1
    xmumiffy
        7
    xmumiffy  
       2024-08-16 01:30:18 +08:00 via Android   ❤️ 1
    @dizhang 所有端口都会被扫,换端口并没啥意义
    feikaras
        8
    feikaras  
       2024-08-16 01:36:49 +08:00   ❤️ 1
    不要把这个服务开在互联网上。
    dilidilid
        9
    dilidilid  
       2024-08-16 04:14:32 +08:00
    干嘛要在公网开 3389 端口?
    RealMan
        10
    RealMan  
       2024-08-16 07:22:45 +08:00   ❤️ 1
    @s4nd 火绒可以检测然后告警
    idragonet
        11
    idragonet  
       2024-08-16 07:37:59 +08:00   ❤️ 1
    路由器映射外网的端口都开启 IP 白名单。
    ho121
        12
    ho121  
       2024-08-16 07:42:56 +08:00 via Android
    @leewi9coder 用了穿透软件,访问本机服务基本都是 127.0.0.1
    dwu8555
        13
    dwu8555  
       2024-08-16 08:11:26 +08:00
    套一个 Cloudflare
    Kazetachinu
        14
    Kazetachinu  
       2024-08-16 08:20:12 +08:00 via iPhone
    啊,我没有公网 ip ,用了个内网穿透弄 emby 。应该还行
    blankmiss
        15
    blankmiss  
       2024-08-16 09:04:31 +08:00
    @dizhang 为什么不能爆破全端口
    busier
        16
    busier  
       2024-08-16 09:14:04 +08:00 via iPhone   ❤️ 1
    多大点事

    内置管理员账号改名或禁用。对方又要猜用户名,又要猜密码。哪那么容易
    mcluyu
        17
    mcluyu  
       2024-08-16 09:23:01 +08:00
    不使用默认用户名和弱密码几乎没可能爆成功, 但是心里膈应, 所以都是走 VPN 的,之前用 Wireguard , 现在 tailscale
    peasant
        18
    peasant  
       2024-08-16 09:23:51 +08:00
    windows11 用的不应该是 Microsoft 账户吗,别人不知道你的账户就算爆破也不会影响你正常使用,OP 自己开了 Administrator 账户来用?

    建议把 RDP 端口改成没有规律的端口,或者防火墙设置白名单,使用 Microsoft 账户,并且勾选仅允许运行使用网络级别的身份验证的远程桌面的计算机连接。
    Stoney
        19
    Stoney  
       2024-08-16 09:26:38 +08:00 via iPhone
    公网开 rdp 应该肯定被扫吧,改端口也没用,把不需要的 IP 都禁止连 rdp 端口吧
    leewi9coder
        20
    leewi9coder  
       2024-08-16 09:41:49 +08:00
    @ho121 ok ,我是用 frp 的,通过一台阿里云机子中转,不过阿里云上我开了 ip 白名单,怎么还会有别人能访问到呢,奇怪。。
    wangweitung
        21
    wangweitung  
    OP
       2024-08-16 09:59:14 +08:00
    @dilidilid #9

    因为正在使用的电脑无权限安装软件。
    wangweitung
        22
    wangweitung  
    OP
       2024-08-16 10:01:59 +08:00
    @peasant #18

    是的,win11 我用的本地管理员账户,没用 Microsoft 账户。

    端口已经改了,准备在 ikuai 加 ip 白名单。
    wangweitung
        23
    wangweitung  
    OP
       2024-08-16 10:03:33 +08:00
    @idragonet #11

    这个要如何获取允许的 ip 段呢?还是说先加国内的 ip 段?
    Satansickle
        24
    Satansickle  
       2024-08-16 11:20:26 +08:00   ❤️ 1
    不要映射 ipv4 的端口,直接用 ipv6 做 ddns ,几乎不会被爆破
    idragonet
        25
    idragonet  
       2024-08-16 11:35:52 +08:00   ❤️ 1
    @wangweitung #23 自己什么 IP 就允许什么 IP 。
    nyxsonsleep
        26
    nyxsonsleep  
       2024-08-16 12:15:02 +08:00
    @dizhang #4 自用端口改到大数字的端口上,别往小改
    wtof
        27
    wtof  
       2024-08-16 14:13:54 +08:00   ❤️ 1
    我在用 RDPGuard ,不过是付费软件
    https://rdpguard.com/
    wtof
        28
    wtof  
       2024-08-16 14:18:06 +08:00   ❤️ 1
    另外可以考虑用类似 rohos logon key 的软件远程登录的时候再加一道动态口令(谷歌验证器那种)
    jjxtrotter
        29
    jjxtrotter  
       2024-08-16 14:36:30 +08:00
    rdp 的默认端口没改?
    AnroZ
        30
    AnroZ  
       2024-08-16 15:02:10 +08:00
    查看了我在用的电脑,有个 80.94.95.153 ,正在每 6 秒尝试一次 Logon 。。。。。
    registerrr
        31
    registerrr  
       2024-08-16 15:32:49 +08:00
    公司云端有个 Windows 服务器,装了个 IPBan ,win11 应该也能装。错误两次,直接 Ban7 天,虽然杜绝不了,最起码心理感觉是更安全了。最根本的是登陆密码要复杂、牢靠

    https://github.com/DigitalRuby/IPBan
    simplove
        32
    simplove  
       2024-08-16 16:08:27 +08:00
    <img src = 'https://img.233444.xyz/imgs/2024/08/5dd95829b8788113.png' />
    我用的是这个,很好用
    simplove
        33
    simplove  
       2024-08-16 16:09:04 +08:00   ❤️ 1
    Earsum
        34
    Earsum  
       2024-08-16 17:15:01 +08:00   ❤️ 1
    同用 rdpdefender ,不过现在都是 vpn 拨回去了,外网不暴露不会被爆破 rdp
    kqz901002
        35
    kqz901002  
       2024-08-16 17:22:00 +08:00   ❤️ 1
    这是日常
    EvineDeng
        36
    EvineDeng  
       2024-08-17 19:27:23 +08:00
    如果是软路由,加一层防火墙可好太多了,只允许特定省份的 IP 访问特定端口。
    IPv4 地址分省清单: https://github.com/devome/files/blob/master/ikuai/ipgroup.csv
    IPv6 地址分省清单: https://github.com/devome/files/blob/master/zxipv6wry/ipv6group.csv
    wangweitung
        37
    wangweitung  
    OP
       2024-08-17 21:36:28 +08:00 via Android
    @EvineDeng #36

    这个好啊……正需要这个。我用的爱快,可以限制 ip 访问指定端口。这样就好多了。只要涉及到控制面板的端口,都限制 ip 。
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5263 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 08:16 · PVG 16:16 · LAX 01:16 · JFK 04:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.