nas里面pt下载的端口也是暴露在公网的,不知道有没有问题
NAT是有方向的,是NAT出还是NAT入,3389是NAT入,外网随便改个比如12345,内网3389我没改它。另外还开了443和80两个端口到web服务器,其它服务器都只开了3389,前提是有防火墙。
只要暴露在公网的端口都是有风险的,如果没有防火墙带防病毒各种库,最好不要完全暴露。
家庭环境,我这里是移动大内网+动态IP+NAT3,根本开不了任何端口,只要没有主动下载带病毒软件 ,病毒入侵可以忽略不计。
防勒索病毒就是一招,321备份策略,esxi主机虚拟了一个黑群abb每周备份,版本控制,重要资料cloud sync加密上传到百度云,搞备份不需要性能,所以黑群硬盘都是vmfs。 煎饼果子chh 发表于 2023-12-21 11:13
NAT是有方向的,是NAT出还是NAT入,3389是NAT入,外网随便改个比如12345,内网3389我没改它。另外还开了4 ...
实时或者定时备份也会中招,全部感染了后,备份也感染了
有版本控制,可以解决问题,但费时费力,4个黑群都要处理下
还是要冷备份,md,太重要了 本帖最后由 煎饼果子chh 于 2023-12-21 11:55 编辑
fatppmm 发表于 2023-12-21 11:39
实时或者定时备份也会中招,全部感染了后,备份也感染了
有版本控制,可以解决问题,但费时费力,4个黑 ...
大量数据肯定需要冷备,不过缺乏及时性
SMB NFS共享这种文件级备份只能应付副本的备份,勒索病毒这种只能用非感染性文件进行版本控制,当然更复杂的块级的快照也可以做到,比如全部虚拟化做快照。 lmno387 发表于 2023-12-21 09:05
自建v pn啊多方便,就跟局域网一样用。
v pn有几种,哪种安全点? wish 发表于 2023-12-21 09:35
用了3389十多年了。。一直保持winsever系统更新,不用admin用户
admin如果使用中文名字,会不会好一些呢?
我的admin账号都是中文名字。 我也中过 唯独数据库没同步, 花了300元找淘宝恢复的,当教学费
后面我关了远程连接,把DMZ也关了 hzsohu 发表于 2023-12-21 12:28
v pn有几种,哪种安全点?
我再用open v pn,证书验证,打开后远程访问就跟内网一样方便且安全 具体是怎么被入侵的,是IPv4直接暴露了3389/开了IPv4 DMZ,还是IPv6被扫到的?是电脑被入侵然后通过SMB入侵群晖的吗?密码是几位大小写和数字啊? 3台机器常年开3389 端口 为什么一点事情没有? 路由器也是一只开着公网web访问。 有了ipv6如果不额外配置防火墙的话就相当于在互联网上裸奔了,但目前设置了N台设备的ipv6,还没碰到被扫的,倒是IPV4的每秒几十个尝试登录。
可能是ipv6地址太多了没法扫? 煎饼果子chh 发表于 2023-12-21 11:13
NAT是有方向的,是NAT出还是NAT入,3389是NAT入,外网随便改个比如12345,内网3389我没改它。另外还开了4 ...
移动可以用ipv6直连,不过要关闭防火墙。但ipv6地址变化间隔短,不清楚能不能扫。每次要连才在路由关防火墙。 系统密码设置输错5次锁30分钟,可以挡一部分 jk2336968 发表于 2023-12-21 15:20
移动可以用ipv6直连,不过要关闭防火墙。但ipv6地址变化间隔短,不清楚能不能扫。每次要连才在路由关防火 ...
IPV6应该没多少扫的,地址范围太大了,可以看看系统日志 本帖最后由 c658544 于 2023-12-21 17:37 编辑
我们公司网络Ip是固定的,所以在家里路由器NAT做了限定,指定源地址才能连回虚拟桌面的3389。
这样应该还安全吧? 这几天我邮箱也被 黑了, 勒索 比特 B , https://www.nomoreransom.org/zh/index.html
试试这个网站,能不能找到解密软件.... 前些年中过一次,之前也一直用mstc,即使改端口强口令,天天被人扫也烦。
搞到后面-我把几台服务器的外网连接全部停了,局域网内跑个frpc,
同时自建rustdesk,这样在外面也能用rustdesk连这些公司内部外网不能自连的服务器。
备份也开着一台群晖做了abb。这样应该安全一些了。 有工具专扫3389的Administrator,改端口改用户都可以避免 改个不常见的用户名同时禁用admin就行了,攻击只会用admin,谁能猜到你的用户名是啥,改端口是没用的,一扫就暴露了。我自己就中招过,就是默认administrator用户,密码虽然长但查了下发现是个常用字典里有的,改了这么点再也没被入侵过,虽然日志里警告不断。 十几年了,ddns+修改了公网端口号的RDP,密码是一般的英文小写字母。非常安全。
但是注意,这台RDP不能直接写入内网信息。
然后就是内网的两台迷你服务器是通过robocopy手动备份而非自动备份,以防止备份也被错误的数据污染。 ntuchenxy 发表于 2023-12-21 22:22
改个不常见的用户名同时禁用admin就行了,攻击只会用admin,谁能猜到你的用户名是啥,改端口是没用的,一扫 ...
我一直用的 微软在线账户远程登录,看来没被搞是这个原因。 presolo 发表于 2023-12-22 09:34
我一直用的 微软在线账户远程登录,看来没被搞是这个原因。
对的,又不是专业的人在亲自攻击,就是个工具,扫到了开放的端口,就用固定administrator账号,密码从字典里穷举,看日志就知道了。对了,上次中招还有个疏忽,病毒做了个防病毒的界面,告诉我有病毒问要不要杀毒,其实那个界面做的很粗糙一看就不像真的,但是没在意就点了下,然后好像还确认了下权限什么的,现在想想真是手贱了。 我不用公网应该没事吧 我是自己写个端口映射软件,对3389做了个自定义的加密映射,这样估计没有黑客有空来破解了吧[傻笑] 账户不要用admin,密码其实无所谓,随便设置,暴力破解专门找纯数字+admin nas上还是启用快照功能,一旦中了勒索病毒,还可以断网后从快照恢复 看了一下win日志,好多登录审核失败日志,吓得赶紧把端口关了
页:
1
[2]