这是一个创建于 76 天前的主题,其中的信息可能已经有所发展或是发生改变。
之前图方便,路由器六万高端口转发 3389 到家里一台电脑,后来无聊看了眼事件查看器,被隔壁 IP 破解了半个月 RDP 密码。我路由器每三天重启,光 IP 段就有 5 个,关闭端口转发之后消停一个月了,去年就被黑过一次四块硬盘数据全给抹了。 隔壁真是穷疯了,没事查查你们的 SSH 和 RDP 登录记录吧,我是防火墙禁用加 openVPN 内网访问了
第 1 条附言 · 76 天前
隔壁是隔壁国家,高端口转发和改默认端口没区别,但是会被检测协议的。之前被黑也不是装的 windows server 没默认用户名一说, 我猜他们是瞄准特定 IP 段不断扫描攻击的
 |
1
i3x 76 天前 via Android
怕被扫就各种 windows 防火墙。白名单。增加你可能的访问来路网段。例如运营商的宽带以及数据的公网 ip 即可。。。被黑只能是因为弱密或者不打补丁。有能力自己搞出 0day 大杀特杀的也没必要针对你一个,要干就 5 分钟扫描全球全部控制好了,随随便便分分钟摧毁整个互联网。
系统的防火墙太难设置或者技术不好,没有洁癖的就随便用一些服务器安全软件设置。可以设置的名单就更加全面了。比如限制连接的计算机名,或者需要特定二次验证等等。 而改端口相对来说已经没有什么用了。 还有,开启了 rdp 安全,其实很多扫爆软件已经没用了,不知道你开了没。。。 根据我的白名单方法。除非发起者跟你同地区,如果你在国内,发起者跟你同地区,虽然你没有任何损失,但是你可以报警,确定会迅速定位扫爆发起者。。对网安来说相当于白给 KPI 。。。。。这种情况可大可小,就看怎么处理了。完整流程只要半个小时就找出发起者了。 |
 |
2
chengfeng1992 76 天前
|
 |
3
jsyangwenjie 76 天前
直接用 tailscale 或者 wireguard ?
|
 |
4
uqf0663 76 天前 via Android
家里公网 ip 高端口开着 rdp 十来年了,5 字母用户名(不是 admin )+5 字母 3 数字密码,目前暂未被成功搞过,主要在外面各种环境想随时随地可以连回家,搞 vpn 会不方便
|
 |
5
fateofheart 76 天前
rdp 直接白名单放 vps 的 ip ,跳板访问,vps 的 ssh 禁止非证书登陆。。。随便扫,能进去算我输
|
 |
6
cloudsigma2022 76 天前
wireguard
|
 |
7
advancejar 76 天前
rdp 开了多年了,端口换成 5 位数字的
|
 |
8
jemyzhang 76 天前 via Android
rustdesk+自建 relay ,值得拥有
|
 |
9
A3 76 天前 via Android
为啥用 3389
|
 |
10
DataSheep 76 天前 via iPhone
@advancejar 单纯改端口没任何作用,没出问题只是可能你的账户名和密码比较强
|
 |
11
Illusionary 76 天前
wireguard 好用的一比,外网拉家里 NAS 文件都打满上传带宽
|
 |
12
dearmymy 76 天前
@jsyangwenjie tailscale 真心挺好用。。
|
 |
13
pppguest3962 76 天前
3389<-TCP_NAT->3389 ,直接 RDP 默认端口映射,你这是把羊放到狼群里,
怎么野德吧 outside 那边的端口改一下吧,我改成 5 位数的端口,7 年了,一个摸门的都没有 |
 |
14
cjpjxjx 76 天前  1
RDP 被暴力破解 99%的情况:使用默认端口、administrator 用户、弱口令
可用端口六万多个,但凡改个五位数端口就已经过滤掉 99%的爆破; 自定义用户名,禁用 administrator 用户,至少再过滤掉 99.99%的爆破; 再使用强密码,直接被暴破成功的概率相当于小行星撞地球。 |
 |
15
huaes OP @chengfeng1992 我是被一个 IP 破了半个月,我也是服了
|
|
19
huaes OP @fateofheart 用 RDP 就是为了延迟和画质,开了显卡加速之后 50Mb 上传都不够,VPS 中转那就是个垃圾还不如直接向日葵
|
 |
21
wolfmei 76 天前
我用山石 SCVPN ,暂时还行。
|
 |
22
SenLief 76 天前
wireguard
这货好用。 |
 |
23
iamvx 76 天前
改高端口,改强密码,改管理员帐户名。 登录桌面不显示帐户名,需要手动录入。并且把 administrator 改成其他的帐户名,然后建一个 guest 帐户叫 administrator 再把这个帐户禁用。
另外,另外,设成尝试 3 次口令错误即锁定该帐号 10 分钟之内不能登录。让他破个千百年去。 |
 |
24
z1814633583 76 天前 via Android
有一个疑问,openvpn 也是得开放端口出去的吧
|
 |
25
qbqbqbqb 76 天前
|
 |
26
flynaj 76 天前 via Android
IPv6 默认端口直接暴露,一年没有问题。
|
 |
27
piloots 76 天前
近七天远程桌面被爆破 39709 次,建议修改远程桌面端口.
|
 |
28
cwek 76 天前
SSH ,就算不是标准端口,,机器也只是偶然连续开两三天,一样被世界各地敲门(已经设了关闭账户密码登录)。
这些可远程控制的,不建议直接暴露外网。 |
 |
31
allanpk716 76 天前 via iPhone
@cjpjxjx 改端口是没用的,RDP 协议有特征。老实用白名单和 VPN 吧。
|
 |
32
vhus 76 天前
家用成品路由器的防火墙功能很差,软路由相对好些。
所以一直在用 routeros 。 自从把 ICMP 协议禁止掉日志就清爽很多了。 家里路由仅仅开了 ovpn 和 PT 的端口,并且都改到 6XXXX 以上。 |
 |
33
star187j3x1 76 天前
vpn 和端口映射,安全性不一样吗?,,
|
|
34
huaes OP @star187j3x1 VPN 就是为了安全加密设计的,windows 漏洞太多了,内网和外网访问的安全性都不在一个量级上
|
 |
35
digimoon 76 天前
服务端口我都是非国内 ip 全封的
|
 |
36
brucmao 76 天前
我擦,感觉看了一下,这么多尝试登录,感觉取消端口转发
https://s3.bmp.ovh/imgs/2022/06/03/117d66ff147b3416.png |
 |
38
Les1ie 75 天前
即使 RDP 使用了强密码,但是 RDP 协议本身是可能存在漏洞的,比如 CVE-2019-0708 。
如果你的 Windows 版本在受影响范围内,比如 win7, win server 2008 ,且未更新补丁,并且再非常不巧,机器的 RDP 端口暴露到了公网中,攻击者无需密码就可以进入你的系统。 建议还是映射 VPN 的端口到公网,至少目前 wireguard/OpenVPN 暂时没有严重的漏洞。 |
 |
41
pagxir 75 天前 via Android
remmina 可以 rdp over ssh ,你设置 ssh 用 key 鉴权既可以
|
 |
42
m1nm13 75 天前
想起来春节,服务器开放了 SSH 端口,结果被打下来,挖了半个月的矿。。。。
|
 |
43
jousca 75 天前
@huaes 1 、系统自动升级开没开?不打补丁被黑那是活该。2 、账户安全策略,密码错误 5 次锁半个小时起步。3 、口令不符合你的社工库。就是这个密码不要用于其它地方。千万别一个密码到处用……
不要小看微软的安全系数,目前网上被中招的大部分都是连自动升级都舍不得开的。 |
|
44
huaes OP @jousca 正版 Key 激活 win10 专业版自动更新没事就给我重启,并没卵用照样被黑。谁有那功夫把每一台机器组策略都加满, 再说了,windows 的漏洞还少吗
|
 |
45
philippiela 75 天前 via iPad
@fateofheart 我也是这么搞的,能扫进去的人估计都去扫中情局的数据库
了 |
 |
46
derekwei 75 天前
比较好奇隔壁国家是哪个,ru ?
|
 |
48
lau52y 75 天前 via iPhone
插楼问一下,怎么搭建那种,vpn 才能连接服务器的
|
 |
51
lqzhgood 75 天前
楼主重启会变 IP 的么?
|
 |
54
q1angch0u 74 天前 via iPhone
可以了解一下 censys 、rapid7 ,有人替他们扫,肉鸡只负责攻击就好
|
 |
55
Showfom 74 天前
|
 |
56
lihui114514 74 天前
想问下我用的 HW 路由器可以在 APP 里远程设置 DMZ 设备,在用的时候把需要远程的设备暴露出来,不用的时候就把 DMZ 关掉这种方案如何呢
|
 |
57
guanzhangzhang 73 天前
你这种端口转发就是应用暴漏在外面了,你用 openvpn 和 wireguard 这种先认证对了才能连上内网的就不存在这种问题了,特别是 wireguard 是非堆成密钥加密,其次它还是工作在内核态
|
|
58
huaes OP @guanzhangzhang wireguard 这玩意我记得刚出的时候就是为翻墙准备的,兼容太差,难不成我还为了它装个 Linux
|
 |
59
tvirus 73 天前
装这个叫 RDP Defender 软件试一试
|
 |
60
dream2cast 73 天前
个人感觉把 RDP 直接暴露在公网上的都是狠人
|
|
61
huaes OP @dream2cast 其实无论是端口转发还是改端口都没用,会被检测协议的
|
 |
63
07ly 73 天前
@huaes wireguard 可不是为了翻墙准备的,要是用它来翻墙那分分钟被请喝茶,特征太明显。wireguard 还是用来组网比较适合,windows 电脑或者路由器开个 wireguard 客户端,配置下本地和对端 peer ,做个端口转发。再在另一台设备上把两边信息配置好就能组网了
|
|
65
guanzhangzhang 73 天前
@huaes 兼容性没啥问题,我 op 和 Linux 上都配置过,我博客还写了笔记,有个 r2s 的小白看了按照配置了都跑起来了,zerotier 兼容性才差,下发路由慢(ecs 上 docker 容器起的),腾讯云和阿里云上搭建过 moon ,速度都不咋的
|
|
66
huaes OP @guanzhangzhang 关键问题在于我不用 Linux 和 OP 啊,硬路由能解决的我干嘛非要在装个虚拟 OP 呢,说真的折腾这么多年网络 OP 类软路由除了翻墙和大宽带汇聚其他场景没什么用,还多了维护成本。折腾那么多除了看起来爽没什么实用性,网络整体稳定性才是我看重的,硬路由 VPN 除了加解密性能低点没什么缺点,不过两三百兆也够用了
|
|
67
huaes OP @guanzhangzhang 任何需要二次安装的都逃不过稳定性问题,VPN 是远控类软件也是,zerotier 我也就卸载了,现在就靠路由器自身 openVPN 外加两台向日葵控控, 服务器路由器都炸了也不怕
|
 |
70
lzyliangzheyu 73 天前
你 windows 是 24 小时开机的吗,我是默认 3389 端口,但是每次都是要用电脑之前先用 wake on lan 唤醒,用完就关机的,主要是待机动辄几百瓦的功耗太费电了
|
|
71
huaes OP @lzyliangzheyu 几百瓦不至于,windows 台式无负载一百瓦左右因为有块 2080 ,双路服务器无负载也才两百瓦,这点电才几块钱,台式机经常开关机才容易出问题,实验室的机器都是几年不关机的
|
 |
73
ppbaozi 65 天前
|
 |
74
sh570655308 58 天前
我以前是路由器建 SS 服务器再连回去的,现在直接用 ipv6 了
|
Select Language