中招了，勒索病毒

CRazy-牛牛

别开远程端口，我现在的服务器都不开。

煎饼果子chh

AlexBango 发表于 2023-12-21 10:27
nas里面pt下载的端口也是暴露在公网的，不知道有没有问题

NAT是有方向的，是NAT出还是NAT入，3389是NAT入，外网随便改个比如12345，内网3389我没改它。另外还开了443和80两个端口到web服务器，其它服务器都只开了3389，前提是有防火墙。
只要暴露在公网的端口都是有风险的，如果没有防火墙带防病毒各种库，最好不要完全暴露。
家庭环境，我这里是移动大内网+动态IP+NAT3，根本开不了任何端口，只要没有主动下载带病毒软件 ，病毒入侵可以忽略不计。
防勒索病毒就是一招，321备份策略，esxi主机虚拟了一个黑群abb每周备份，版本控制，重要资料cloud sync加密上传到百度云，搞备份不需要性能，所以黑群硬盘都是vmfs。

fatppmm

煎饼果子chh 发表于 2023-12-21 11:13
NAT是有方向的，是NAT出还是NAT入，3389是NAT入，外网随便改个比如12345，内网3389我没改它。另外还开了4 ...

实时或者定时备份也会中招，全部感染了后，备份也感染了

有版本控制，可以解决问题，但费时费力，4个黑群都要处理下

还是要冷备份，md，太重要了

煎饼果子chh

fatppmm 发表于 2023-12-21 11:39
实时或者定时备份也会中招，全部感染了后，备份也感染了

有版本控制，可以解决问题，但费时费力，4个黑 ...

大量数据肯定需要冷备，不过缺乏及时性

SMB NFS共享这种文件级备份只能应付副本的备份，勒索病毒这种只能用非感染性文件进行版本控制，当然更复杂的块级的快照也可以做到，比如全部虚拟化做快照。

hzsohu

lmno387 发表于 2023-12-21 09:05
自建v pn啊多方便，就跟局域网一样用。

v pn有几种，哪种安全点？

pp0pp

wish 发表于 2023-12-21 09:35
用了3389十多年了。。一直保持winsever系统更新，不用admin用户

admin如果使用中文名字，会不会好一些呢？

我的admin账号都是中文名字。

zfsquare

我也中过 唯独数据库没同步， 花了300元找淘宝恢复的，当教学费

后面我关了远程连接，把DMZ也关了

farwish

hzsohu 发表于 2023-12-21 12:28
v pn有几种，哪种安全点？

我再用open v pn，证书验证，打开后远程访问就跟内网一样方便且安全

秋尘

具体是怎么被入侵的，是IPv4直接暴露了3389/开了IPv4 DMZ，还是IPv6被扫到的？是电脑被入侵然后通过SMB入侵群晖的吗？密码是几位大小写和数字啊？

presolo

3台机器常年开3389 端口 为什么一点事情没有？   路由器也是一只开着公网web访问。

nsc117

有了ipv6如果不额外配置防火墙的话就相当于在互联网上裸奔了，但目前设置了N台设备的ipv6，还没碰到被扫的，倒是IPV4的每秒几十个尝试登录。
可能是ipv6地址太多了没法扫？

jk2336968

煎饼果子chh 发表于 2023-12-21 11:13
NAT是有方向的，是NAT出还是NAT入，3389是NAT入，外网随便改个比如12345，内网3389我没改它。另外还开了4 ...

移动可以用ipv6直连，不过要关闭防火墙。但ipv6地址变化间隔短，不清楚能不能扫。每次要连才在路由关防火墙。

寂寞的自由

系统密码设置输错5次锁30分钟，可以挡一部分

煎饼果子chh

jk2336968 发表于 2023-12-21 15:20
移动可以用ipv6直连，不过要关闭防火墙。但ipv6地址变化间隔短，不清楚能不能扫。每次要连才在路由关防火 ...

IPV6应该没多少扫的，地址范围太大了，可以看看系统日志

c658544

我们公司网络Ip是固定的，所以在家里路由器NAT做了限定，指定源地址才能连回虚拟桌面的3389。
这样应该还安全吧？

zhjook

这几天我邮箱也被 黑了， 勒索 比特 B ，

xiao911

https://www.nomoreransom.org/zh/index.html

试试这个网站，能不能找到解密软件....

lovest

前些年中过一次，之前也一直用mstc，即使改端口强口令，天天被人扫也烦。
搞到后面-我把几台服务器的外网连接全部停了，局域网内跑个frpc，
同时自建rustdesk，这样在外面也能用rustdesk连这些公司内部外网不能自连的服务器。
备份也开着一台群晖做了abb。这样应该安全一些了。

ExFan

有工具专扫3389的Administrator，改端口改用户都可以避免

ntuchenxy

改个不常见的用户名同时禁用admin就行了，攻击只会用admin，谁能猜到你的用户名是啥，改端口是没用的，一扫就暴露了。我自己就中招过，就是默认administrator用户，密码虽然长但查了下发现是个常用字典里有的，改了这么点再也没被入侵过，虽然日志里警告不断。

tedaz

十几年了，ddns+修改了公网端口号的RDP，密码是一般的英文小写字母。非常安全。

但是注意，这台RDP不能直接写入内网信息。

然后就是内网的两台迷你服务器是通过robocopy手动备份而非自动备份，以防止备份也被错误的数据污染。

presolo

ntuchenxy 发表于 2023-12-21 22:22
改个不常见的用户名同时禁用admin就行了，攻击只会用admin，谁能猜到你的用户名是啥，改端口是没用的，一扫 ...

我一直用的 微软在线账户远程登录，看来没被搞是这个原因。

ntuchenxy

presolo 发表于 2023-12-22 09:34
我一直用的 微软在线账户远程登录，看来没被搞是这个原因。

对的，又不是专业的人在亲自攻击，就是个工具，扫到了开放的端口，就用固定administrator账号，密码从字典里穷举，看日志就知道了。对了，上次中招还有个疏忽，病毒做了个防病毒的界面，告诉我有病毒问要不要杀毒，其实那个界面做的很粗糙一看就不像真的，但是没在意就点了下，然后好像还确认了下权限什么的，现在想想真是手贱了。

forestcrystal

ntuchenxy 发表于 2023-12-21 22:22
改个不常见的用户名同时禁用admin就行了，攻击只会用admin，谁能猜到你的用户名是啥，改端口是没用的，一扫 ...

老哥，admin咋禁用啊，是说的群晖里的admin

cookcrow

我不用公网应该没事吧

红叶乱秋山

我是自己写个端口映射软件，对3389做了个自定义的加密映射，这样估计没有黑客有空来破解了吧

fyc858

账户不要用admin，密码其实无所谓，随便设置，暴力破解专门找纯数字+admin

ImRuYi

nas上还是启用快照功能，一旦中了勒索病毒，还可以断网后从快照恢复

endlessbest

看了一下win日志，好多登录审核失败日志，吓得赶紧把端口关了