全球主机交流论坛

标题: 关于被win远程被黑 [打印本页]

作者: 张三1988 时间: 2023-11-10 23:39
标题: 关于被win远程被黑
本帖最后由张三1988 于 2023-11-11 00:54 编辑

事情是这样的
今天早上起床点了一眼邮件发现hz给我发两个两封更换邮箱的邮件
我尼玛不对劲赶紧去连我的远程服务器发现连不上！！登录hz官网也上不去

（远程服务器就是用来当电脑操作的不是服务器建站服务器都是linx）

最后等到官网下午两点多官网给我找回了

然后赶紧救援系统找回服务器权限
发现网站所有支付的都被改了
bt面板的日志也被清空

请问大佬这次被入侵的原因是什么？
1.远程服务器被扫
2.远程服务器用了转发被商家查看日志获取明文
3.社工库获取hz密码(但是远程桌面也是hz的装的是官网win10系统)
4.远程卡的时候用了finalshell加速

说明:远程:英文+数字不是常用密码

账号密码也“不完全”统一本人比较懒也是第一次遇到这种事

就算社工获取hz密码他也没办法登录我的win远程服务器救援系统改不了win密码

万幸服务器是hz 就算删也删不掉数据也万幸那个人只是偷了我200多块动没动我的数据问题还没仔细检查

希望mjj大哥的以我为戒做好安全防护！！！

这是被换的支付接口地址:https://api.seccmo.com

作者: ftlh2005 时间: 2023-11-10 23:41
客服很给力啊

作者: 张三1988 时间: 2023-11-10 23:43

ftlh2005 发表于 2023-11-10 23:41
客服很给力啊

对没多余的废话直接就是 : 我移除了您账户所有的会话请自行找回

作者: 胖虎_ 时间: 2023-11-10 23:51
可能是爆破密码吧；尽量使用Linux的系统，用密钥登录

作者: 张三1988 时间: 2023-11-10 23:53

胖虎_ 发表于 2023-11-10 23:51
可能是爆破密码吧；尽量使用Linux的系统，用密钥登录

应该是远程桌面被爆破不然不可能获取我所有的东西

作者: NodeLoc 时间: 2023-11-11 00:00

张三1988 发表于 2023-11-10 23:53
应该是远程桌面被爆破不然不可能获取我所有的东西

开个 duo 就好了。

作者: Microcharon 时间: 2023-11-11 00:02
"设置密码都很简单"

你自己都说了

Windows Server 都容易遭到别人一遍又一遍的爆破

作者: 张三1988 时间: 2023-11-11 00:03

Microcharon 发表于 2023-11-11 00:02
"设置密码都很简单"

你自己都说了

百分之60 感觉

作者: 张三1988 时间: 2023-11-11 00:07

Microcharon 发表于 2023-11-11 00:02
"设置密码都很简单"

你自己都说了

大小写+喜欢的一串数字

作者: 鱼乐乐 时间: 2023-11-11 00:08
密码设置太简单了，特别是社工库都能查到的那种

作者: 张三1988 时间: 2023-11-11 00:13

鱼乐乐发表于 2023-11-11 00:08
密码设置太简单了，特别是社工库都能查到的那种

和社工关系不大帖子更新了你再看一眼章鱼哥

作者: Microcharon 时间: 2023-11-11 00:19
只能再想想了

无非就是钓鱼邮件点击未知链接、安装不明的软件、系统漏洞未及时打补丁导致乘虚而入等等

作者: 胖虎_ 时间: 2023-11-11 00:31

张三1988 发表于 2023-11-10 23:53
应该是远程桌面被爆破不然不可能获取我所有的东西

嗯，如果密码简单，大部分都是被暴力破解密码的。你可以用Linux啊，不是asp程序的情况下，几乎用不到win系统吧。在Linux上使用密钥方式登录，能防止80%的暴力破解吧。

作者: 胖虎_ 时间: 2023-11-11 00:33

张三1988 发表于 2023-11-11 00:07
大小写+喜欢的一串数字

这种密码很容易破解的，必须使用密码的话，那就使用20+位数的随机。大小写，数字，特殊字符，全部用上

作者: 幽影寻秋 时间: 2023-11-11 00:41
没有这种烦恼，服务器不用win

作者: 张三1988 时间: 2023-11-11 00:49

胖虎_ 发表于 2023-11-11 00:31
嗯，如果密码简单，大部分都是被暴力破解密码的。你可以用Linux啊，不是asp程序的情况下，几乎用不到win ...

我远程是为了方便就是家里正常的一个使用环境跟家里电脑一样网站都是linx

作者: 胖虎_ 时间: 2023-11-11 01:01

张三1988 发表于 2023-11-11 00:49
我远程是为了方便就是家里正常的一个使用环境跟家里电脑一样网站都是linx ...

哦哦，那就把端口号改高位，然后密码用随机生成的。应该就很难破解开了

作者: 丶心围双城 时间: 2023-11-11 01:21
3389端口没改吧。

作者: kikuri 时间: 2023-11-11 01:21
防火墙开白名单ip

作者: adminisd 时间: 2023-11-11 08:09
设置防火墙规则，仅允许白名单IP访问，设置密码错误锁定时间

作者: 萌萌的呆宝 时间: 2023-11-19 07:07
你机场群TG尾巴是nb92吧？
应该是前几天我无聊玩的，你机场流水太小了，我也没做别的坏事，就改了一把支付

话说，你小子胆子真是大啊，擦边色站发卡做了不少啊，我可有你真实数据包括你常用IP(肉身物理IP)

小心点，别陷进去了，你家没啥值得深入的，多做做安全相关的东西吧，想知道你是怎么被黑，哪里的问题，可以联系我，非免费哦

作者: 萌萌的呆宝 时间: 2023-11-19 07:11
反正也无聊，回复下你的疑问吧

1.远程服务器被扫
(非也，哪有那么多闲心去扫，又不是抓鸡)
2.远程服务器用了转发被商家查看日志获取明文
(rdp协议的密码目前不提前在你机器额外处理的话，是没办法截取的)
3.社工库获取hz密码(但是远程桌面也是hz的装的是官网win10系统)
(非也)
4.远程卡的时候用了finalshell加速
(非也)

简单来说，是你其中一个色站的漏洞，然后又用了老版本的宝塔，拿到了不少信息，之后就简单了

作者: imok 时间: 2023-11-19 08:11
楼上老哥说说明了老版本宝塔有漏洞你用的程序有漏洞

作者: 烟花三月 时间: 2023-11-19 08:21
你缺一个v.p.n，把端口全毙了，只开服务端口和v.p.n端口，所有的登录都从v.p.n进行。

作者: 宁静致远 时间: 2023-11-19 08:24
同样被黑过的HZ用户，感觉是塔的锅。

作者: 张三1988 时间: 2023-11-19 08:48

宁静致远发表于 2023-11-19 08:24
同样被黑过的HZ用户，感觉是塔的锅。

应该不是那他不应该上我的hz win服务器啊他不知道密码

作者: 我心飞呀飞 时间: 2023-11-19 09:23
近几年我都用bitwarden生成密码，所有网站，私人、公司的账号，WB什么的，除了银行密码等只能6位数的。不然一次泄露就改密码改死

作者: Phyton 时间: 2023-11-19 09:26
盲猜弱密码，楼主改完密码后可以把旧密码发出来，让大伙看看是否为弱密码

作者: laoshi 时间: 2023-11-19 09:34
装个360就行啊

作者: acm 时间: 2023-11-19 09:40
看看你的弱密码
不会是Qwer1234吧

作者: tomcb 时间: 2023-11-19 09:55
什么win系统，有没有打补丁，没打容易被爆

作者: genshin 时间: 2023-11-19 09:59
弄个复杂点的密码，装个火绒，开启防攻击。基本上就没啥问题了。我原找经常找防爆破，后来发现火绒就可以。。。

作者: 5k狗肏你妈 时间: 2023-11-19 11:39

萌萌的呆宝发表于 2023-11-19 07:11
反正也无聊，回复下你的疑问吧

1.远程服务器被扫

大佬牛逼带带我

作者: zonly 时间: 2023-11-19 12:14
楼主太悲催了

作者: 大帅比 时间: 2023-11-19 12:17
提示: 作者被禁止或删除内容自动屏蔽

作者: 5k狗肏你妈 时间: 2023-11-19 12:44

大帅比发表于 2023-11-19 12:17
卖课的

多少钱

欢迎光临全球主机交流论坛 (https://loc.888543.xyz/)