设为首页
收藏本站
开启辅助访问
全部
问与答
创意
技术
酷工作
生活
交易
资源
节点
飞墙
Follow
明白贴
影视
报酬
登录
注册
飞社-令人惊奇的创意工作者社区-
›
首页
›
问与答
›
自用电脑中了勒索病毒!
FSHEX=FIND+SHARE+EXPRESS
飞社-令人惊奇的创意工作者社区- 是一个关于发现分享表达的地方
现在登录
没有账号?
立即注册
推荐主题
›
卫生巾实测
›
看了《再见爱人》气的晚上睡不着
›
怎么看待 [十点前下班没必要来深圳] 的说法
›
去医院看发烧,检查花了 640
›
请教一下大家是如何清理机械键盘缝隙中的灰
今日热议主题
现在 Google Workspace 土耳其区如果要新开
裸辞了,重新开始找工作
出自用 macbook pro 2023 16 寸 m2 pro 16G
这就是传说中的 sni 阻断吗?
现在从 Intel Mac 迁移到 Apple Silicon 的
组队开发一些 AI 领域的公共仓库
[开源] 基于 Navidrome 的音乐同步展示到个
homebrew 为什么还是这么慢啊
出山姆副卡(11 月 26 日开通)
收一个 iphone12 最好是 128 或者 256 的
自用电脑中了勒索病毒!
jjrhlb
· 2024-10-15 16:28:11 · 213 次点击
今天早晨到了公司,习惯性的远程家中的电脑(家中挂魔法使用 ChatGPT+摸鱼),发现中了勒索病毒,文件都被加密了,我的电脑是裸奔的,临时下了一个火绒扫到了病毒文件;这时候很怕波及到工作电脑,想溯源看一下是哪里出了问题。
搜索了一下这种情况基本都是 RDP 爆破导致的,文件的加密时间是凌晨 3 点,查看 windows 系统日志发现 2:57 有 RDP 连接记录,但是记录的源网络地址是: 127.0.0.1 ,不是组网 ip 或者局域网 ip ,应该是映射到的,此时虽然还不知道是哪个软件出了问题,但是应该是不会波及到工作电脑了,还是心安了一些。
在查看 windows 系统日志我也发现了一个问题,我并没有看到登录失败的报错,虽然我的密码很简单(图方便:1111 ),但真的一次就连上了吗,此处待定。上面确定是域名映射到了本地的 3389 端口,回想了一下我使用的映射应该只有 zeronews 和 cloudflared ,可能是官网被爆破了?未知,最后还是没有锁定问题。
最后,已老实。以后会使用强度更高的密码,使用大厂背书的软件。
大家有什么可以进一步溯源或者安全方面的建议吗?
举报
·
213 次点击
登录
注册
站外分享
微信扫一扫
QQ分享
微博分享
豆瓣分享
复制链接
显示全部
|
最新评论
7 条回复
沙发
wuud
小成
2024-10-15 16:38:06
127.0.0.1 是本机 IP ,通过描述猜测可能是把家中电脑端口转发到公网 IP ,导致主机密码被爆破。
可以通过查看端口转发或服务器日志,2:57 分有哪个 IP 连接了
一般的防护方法就是更改默认用户名,使用强密码,不对外映射端口或使用白名单策略,可以但不建议安装杀软
板凳
Tamio
小成
2024-10-15 16:46:35
你是有公网 IP 吗? 用的是 windows 远程桌面还是别的什么方案?
地板
lizy0329
小成
2024-10-15 16:51:51
前阵子才中了,公司测试环境全崩
5#
loocao
初学
2024-10-15 16:52:14
@Tamio #2 127.0.0.1 连接 RDP ,应该是被什么软件装了后门,把 3389 端口转发到某个公网 IP 了。
如果是有公网 IP 直接连接 RDP ,windows 系统日志里面看到的就是对方的公网 IP 了,而不是 127.0.0.1 。
6#
someonesnone
小成
2024-10-15 16:52:52
我已经把 3389 改成别的端口了,,, 不知道有没有更强的防护作用
7#
idragonet
小成
2024-10-15 17:04:37
映射公网肯定开 IP 白名单的。
8#
liuzimin
初学
2024-10-15 17:35:32
我以前用 cpolar 做的内网穿透,也中招过一次。当时密码设得贼简单:test123456 。中招后只看了下杀毒软件报的毒叫 neshta 。然后情急之下也没管什么溯源了,直接就重装系统了。。。
从此不敢再用这种内网穿透方案(虽然知道问题主要是弱密码+3389 ),后改用 tailscale 了。
返回顶部