全球主机交流论坛

标题: 昨晚电脑被黑了，有谁知道黑客打开的这是啥软件？ [打印本页]

作者: 一休哥 时间: 2023-4-17 09:24
标题: 昨晚电脑被黑了，有谁知道黑客打开的这是啥软件？
家用小主机安装的windows系统，24小时开机，hyper-v安装openwrt使用，映射内网3389端口到公网（公网改了端口），通过微软的远程桌面连接。

昨晚网络有点慢，以为是虚拟机有问题，于是用手机远程登录电脑重启下，但发现电脑上莫名其妙打开了2款软件，有一款看起来正在传输数据，由于太慌张就赶紧把软件关了，其中一个记了名字，是一个密码查看软件，类似于可以查看浏览器保存的密码，另外一款也是英文界面，完全不记得名字了，但手机远程登录退出后有个类似的快照，只能隐约看到一个图标，不知道哪位大佬认识这个软件，具体有什么作用？

谢谢各位！

作者: 一休哥 时间: 2023-4-17 09:26
另外请教大家如何通过安全的方式进行远程连接？

作者: gogohdysmall 时间: 2023-4-17 09:26
看不清楚啊这

作者: 一休哥 时间: 2023-4-17 09:27

gogohdysmall 发表于 2023-4-17 09:26
看不清楚啊这

手机上的快照截图，只能这种清晰度了。

作者: ioioio 时间: 2023-4-17 09:31
来人.把我的天文望远镜拿出来

作者: 大杀器 时间: 2023-4-17 09:36
改了端口还能被干，是改了个特别好记的那种 12345之类的？这个端口建议随机。
然后我的做法是，平时关了映射，要用的时候临时打开，用完随手就关了。

作者: 玉藻前 时间: 2023-4-17 09:39
本帖最后由玉藻前于 2023-4-17 09:46 编辑

不认识。
公网暴露RDP端口，还用弱密码的话很作死。即使换端口也不行。
搭个微皮恩，只开微皮恩的端口回家。
总之赶紧改密码吧。

还可以用zerotier回家，还可以用向日葵/todesk等回家。

作者: ayue168 时间: 2023-4-17 09:39
我也遇到过这种问题我是macos 的nvc,不过对方没安装软件,直接打开我的谷歌相册看了信.用.卡正反面.
对方正在看我正反面的时候我还观察了一会,对方网络特别卡.就是乱翻翻.

作者: 闻风听雨 时间: 2023-4-17 09:50
弱密码还是漏洞。网络上win那么多，其实也没那么容易破解吧

作者: 一休哥 时间: 2023-4-17 10:00

闻风听雨发表于 2023-4-17 09:50
弱密码还是漏洞。网络上win那么多，其实也没那么容易破解吧

用了弱密码。。。

作者: 亲爱的瘦腿先生 时间: 2023-4-17 10:06
之前只改了端口用的弱密码直接被爆破植入勒索病毒了都。还好电脑没啥东西直接重装

作者: 忘江湖 时间: 2023-4-17 10:19
本帖最后由忘江湖于 2023-4-17 10:24 编辑

我之前也遇到过这个问题，所以我开发了一个防爆破软件，对应保护的端口，只要扫描穷举5次以上，直接自动封IP。就算弱密码也基本没事，除非5次黑客能猜对

作者: Mr-Eternal 时间: 2023-4-17 10:31

忘江湖发表于 2023-4-17 10:19
我之前也遇到过这个问题，所以我开发了一个防爆破软件，对应保护的端口，只要扫描穷举5次以上，直接自动封I ...

风雪飞扬？

作者: 忘江湖 时间: 2023-4-17 10:46

Mr-Eternal 发表于 2023-4-17 10:31
风雪飞扬？

作者: imgood 时间: 2023-4-17 10:47

ayue168 发表于 2023-4-17 09:39
我也遇到过这种问题我是macos 的nvc,不过对方没安装软件,直接打开我的谷歌相册看了信.用.卡正反面.
对方正 ...

信用卡后来没事吧

作者: HOH 时间: 2023-4-17 10:49

忘江湖发表于 2023-4-17 10:19
我之前也遇到过这个问题，所以我开发了一个防爆破软件，对应保护的端口，只要扫描穷举5次以上，直接自动封I ...

组策略就解决的问题，多此一举

作者: Mr-Eternal 时间: 2023-4-17 10:51

忘江湖发表于 2023-4-17 10:46

作者: 筱小花汐 时间: 2023-4-17 10:54

HOH 发表于 2023-4-17 10:49
组策略就解决的问题，多此一举

怎么弄，麻烦说一下关键词，谢谢

作者: Nnag 时间: 2023-4-17 10:55
不认识

作者: 忘江湖 时间: 2023-4-17 10:55

HOH 发表于 2023-4-17 10:49
组策略就解决的问题，多此一举

我是小白，组策略我也设置测试过效果并不好，甚至没有效果，当然也可能是我设置的不对。
其实我需要的功e能就4项
1，能设置保护TCP指定端口，对应端口扫描尝试达到对应次数就自动封停，且能进行自动解封(防止误封)。
2，能保护WEB指定端口，超过对应频率一样直接封停
3，能设置计算机名白名单，非白名单的计算机名连接RDP直接强制断开
4，能设置IP白名单，白名单内的IP不用触发1和2的条件
麻烦大佬提供一下以上功能的组策略设置教程呗？好让更多的小白，和不信任陌生EXE的小白们可以参考，也算造福大家做了好事。

作者: HOH 时间: 2023-4-17 10:56
本帖最后由 HOH 于 2023-4-17 10:57 编辑

筱小花汐发表于 2023-4-17 10:54
怎么弄，麻烦说一下关键词，谢谢

计算机配置\策略\Windows 设置\安全设置\帐户策略\帐户锁定策略

以及：
激活远程访问客户端帐户锁定
https://learn.microsoft.com/zh-cn/troubleshoot/windows-server/networking/configure-remote-access-client-account-lockout

作者: 忘江湖 时间: 2023-4-17 10:58

HOH 发表于 2023-4-17 10:56
计算机配置\策略\Windows 设置\安全设置\帐户策略\帐户锁定策略

以及：

账号不需要锁定，管理服务器要正常使用的，目的是要把做坏事穷举的那些IP自动封停掉

作者: HOH 时间: 2023-4-17 10:58

忘江湖发表于 2023-4-17 10:58
账号不需要锁定，管理服务器要正常使用的，目的是要把做坏事穷举的那些IP自动封停掉 ...

这些都是走代理批量扫描，封IP没有任何意义

作者: yi339999 时间: 2023-4-17 10:58
弱密码也不是问题，关键是用户名，别用administrator admin，直接用个不常用的，穷举都不知道你用户名

作者: 一休哥 时间: 2023-4-17 10:59

yi339999 发表于 2023-4-17 10:58
弱密码也不是问题，关键是用户名，别用administrator admin，直接用个不常用的，穷举都不知道你用户名 ...

大意了，以为没啥问题。

作者: 忘江湖 时间: 2023-4-17 11:02

HOH 发表于 2023-4-17 10:58
这些都是走代理批量扫描，封IP没有任何意义

我是全自动封的，你代理一千个IP来都无所谓，反正每个IP我都给你5次机会，五千次机会就算弱密码，你也撞成功的机会也非常低，字典里面几十万的密码，你要多少个IP来撞？怎么可能会没有意义？

作者: 忘江湖 时间: 2023-4-17 11:04

HOH 发表于 2023-4-17 10:58
这些都是走代理批量扫描，封IP没有任何意义

而且根据软件运行了几个月的情况来看，根本没有那么多代理IP，大多都是一个段内的IP，每次十几二次个了不起了，更多IP可能成本太高，至少还从未遇到上百IP过，可以看上面拦截的截图，现实不是你臆想的那样

作者: k547557487 时间: 2023-4-17 11:06
危险啊

作者: HOH 时间: 2023-4-17 11:07

忘江湖发表于 2023-4-17 11:02
我是全自动封的，你代理一千个IP来都无所谓，反正每个IP我都给你5次机会，五千次机会就算弱密码，你也撞 ...

1、只要IP够多，1个小时就可以试上无数次
2、只需要锁定账户1分钟，1小时内可试探的次数上限是确定的
3、防火墙规则越多列表越长CPU消耗就会越大

该问题我不再与你讨论，没有讨论必要纯粹浪费时间，你觉得你的好用你用就是了

作者: 乃木坂46 时间: 2023-4-17 11:10
IP白名单

作者: 忘江湖 时间: 2023-4-17 11:11
本帖最后由忘江湖于 2023-4-17 11:30 编辑

HOH 发表于 2023-4-17 11:07
1、只要IP够多，1个小时就可以试上无数次
2、只需要锁定账户1分钟，1小时内可试探的次数上限是确定的
3、 ...

只要IP足够多的前提下，我工具自动封对应IP三天你解释为多此一举。
那你账户只锁定1分钟，在足够多的IP面前，为何就不是多此一举了呢？1分钟后难道这么多多IP就不能继续穷举剩下的密码了吗？不是很理解
反正锁定账户1分钟无敌，自己也不用正常登陆维护了。外面IP在不停的尝试，账户不停被锁，每天都得抢机会解封账号才能登陆服务器，这是多流弊的设计方案。
能运行windows的机器，就因为多添加了十几二十条防火墙规则，CPU就吃到百分之百了不成？
本来就是大家友好沟通，讨论解决方案，你一来就多此一举，谁又愿意给你多浪费时间？

作者: Syc 时间: 2023-4-17 11:13
某个ftp软件

作者: fondy 时间: 2023-4-17 11:20
弱密码能怪谁呢？

作者: ayue168 时间: 2023-4-18 09:43

imgood 发表于 2023-4-17 10:47
信用卡后来没事吧

没事啊.大佬.

欢迎光临全球主机交流论坛 (https://lilynana.eu.org/)