作者Psytoolkid (基德)
看板Broad_Band
標題[問題] 電腦遠端一直被access如何解決?
時間Mon Aug 29 15:47:57 2022
如圖,一小時可能已經被試超過100次了,看來源是俄羅斯聖彼得堡,應該可以確定是惡
意要暴力破解的,前幾天就有看到這ip有嘗試連線,可是沒有幾次就沒在意,今天是直接
不間斷的一直嘗試連線,已經啟用層級化驗證和登入錯誤次數限制,但是還是被try,想
問一下除了關閉遠端連線,有沒有其他抵擋方法?
https://imgur.com/kE1WgP4
--
https://imgur.com/a/CTAOeec
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 39.9.234.196 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Broad_Band/M.1661759290.A.D01.html
1F:推 BDrip: 改成只能用VPN連 對外port關掉08/29 15:54
2F:推 lianpig5566: 網路上本來就一堆程式在到處try08/29 16:05
3F:→ lianpig5566: 你怕的話也可以把國外IP全擋掉08/29 16:05
4F:噓 Klauhal: 為什麼你會開放外部338908/29 18:15
5F:→ chihyu5225: 兩招 第一 本機PPPOE 請改 3389 port 到50000後08/29 19:06
6F:→ chihyu5225: 第二 用Router PPPOE NAT,再port forwarding對外改埠08/29 19:09
7F:推 usemame2003: RDP的port改掉08/29 19:34
8F:推 simpson083: 改rdp port 谷歌有08/29 19:49
9F:→ tomsawyer: Rdp還可以換 像smb就沒得換了08/29 22:42
10F:→ asdfghjklasd: 關機就沒事了08/29 22:48
11F:推 adearlover: 改RDP port和router port forwarding沒用,以前改成08/29 23:25
12F:→ adearlover: 這樣還一直被try,建議用VPN和設定遠端IP白名單08/29 23:27
13F:→ adearlover: 最好把administrator帳號停用,另開一個admin權限帳號08/29 23:34
14F:→ fonzae: 封鎖國外IP不好嗎? 還是你的RDP有從國外連入?08/29 23:35
15F:→ fonzae: 甚至直接指定來源IP去限制,其餘drop也是一種方法08/29 23:35
16F:→ sazabijiang: 你是不是有對外開啟什麼服務(port),又是固定ip所以08/30 00:20
17F:→ sazabijiang: 被盯上?每天重啟一次機器取得不同的IP試試看?08/30 00:20
謝謝各位建議。
會開rdp是因為實驗室都要連回server分析資料(包括人在國外的),之所以用3389是因為
原本就這樣設,如果換port連線時還要另外加port碼,基本上實驗室應該只有我有相關的概
念,以前連層級驗證都沒開(最近會一直被試應該是有人為了方便又把他解掉,導致驗證端
直接在本機),直接放在固定ip開著rdp,nas也沒開TLS連線。
所以只要變更了我想其他人連線是會變麻煩,我也覺得要把連線安全的概念包括密碼設定強
度問題全部講解讓所有人改習慣很麻煩,所以過得去就算了。
下午直接用防火牆針對那個範圍的ip設拒絕輸入,目前大概是透過重啟層級驗證加防火牆做
防禦,再看紀錄已經沒有繼續被try,router本身沒有輸入阻擋的防火牆,頂多停止連接埠
服務,所以就算了。不過學網照理說算是區網,也有一個DNS主機,不知道為什麼不管ddos
還是這種境外機器人在掃完全沒在管。
※ 編輯: Psytoolkid (59.127.58.112 臺灣), 08/30/2022 01:29:20
18F:→ school4303: 學網不管是因為很麻煩 沒有人知道是被掃還是有白癡忘08/30 03:57
19F:→ school4303: 記連線資料 要是擋到大咖一點的老師還會被罵到臭頭08/30 03:57
20F:→ lianpig5566: 要看計中政策 我前一間學校計中要開外部連線就要申請08/30 11:55
21F:→ lianpig5566: 也要被弱掃 不想申請就只能乖乖先連VPN08/30 11:56
22F:推 sazabijiang: 如果你們能承受實驗室的機器被駭資料被加密勒索08/30 15:54
23F:→ sazabijiang: 那就不需要加強防護,維持現在的設定就可以。08/30 15:54
24F:→ sazabijiang: 學網享有得天獨厚的資源,分配到的IP是實體IP。08/30 15:55
25F:→ sazabijiang: 比較安全的做法是自己架設VPN然後用key認證08/30 15:56
26F:→ samuelyen: fail2ban08/30 18:21
27F:推 rick65134: 固定IP預設port 不打你打誰... 鐵定照三餐來逛逛08/30 19:20
28F:→ rick65134: 擋ddos是要花大錢的 計中又不是善財童子08/30 19:22
30F:→ da21510: 學網通常只管你打出去的08/31 07:29
31F:→ da21510: 外面打進來不太管08/31 07:29
32F:推 p72910: 買一個網域,cloudflare,反向代理子網域。 這樣對外port08/31 11:32
33F:→ p72910: 可以全部關閉08/31 11:32
34F:推 HiJimmy: 3389沒事別開~~,公司的被入侵,勒索中兩次,挖礦一次08/31 17:38
35F:→ HiJimmy: 軟體廠商太廢,都跟他說是fortigate的SSLVPN,都設定好了08/31 17:40
36F:→ HiJimmy: 還不會設定電腦端08/31 17:40
37F:→ HiJimmy: 為了這個3389開關很多次,一次忘記關就中了08/31 17:41
38F:→ asdfghjklasd: 換掉軟體廠商.....08/31 19:38
39F:推 blackstyles: 多接一個router 鎖他ip啊09/01 01:22
40F:推 a138949: 學網給你實體IP學術用,本來就沒有沒有附加幫你檔東檔西09/02 01:16
41F:→ a138949: 的服務,RDP真的要用的話記得把常見USER名字admin user09/02 01:17
42F:→ a138949: guest之類的停用,密碼請用複雜一點,Win更新要開不要有09/02 01:17
43F:→ a138949: 弱點讓他戳,我這樣用了五年以上都還沒有被登入過;其實09/02 01:17
44F:→ a138949: 200X年末就已經有在掃全世界的PORT了,事件檢視器都有紀09/02 01:17
45F:→ a138949: 錄,可以觀察它們常在試的使用者名^^09/02 01:17
48F:→ ballcat: 買一台有ssl vpn的千餘元就解決啦09/03 01:17
49F:推 p72910: vpn一樣要開port,只有對外port全關閉的方式才安全,例如c09/04 19:52
50F:→ p72910: loudflare tunnel or oracle vps內網穿透09/04 19:52
51F:推 sazabijiang: VPN可以做秘鑰認證,只有管理員登錄過公鑰的使用者09/04 20:49
52F:→ sazabijiang: 才能建立連線,夠安全了。OpenVPN還不錯用09/04 20:50
open vpn我今年初就試過了,其實vpn的方法運作完全沒問題,只是速度真的太慢了,而且
便利性也比較差,所以就算了。
※ 編輯: Psytoolkid (27.242.198.236 臺灣), 09/08/2022 01:14:12