是否被入侵了? 該如何處理? NB 遠端桌面連server 被記錄三筆IP登入

資安遠端桌面

achan 2019-10-18 13:46:40 ‧ 11917 瀏覽

分享至

公司的伺服器用自己的NB遠端桌面連進去的時候
發現會"同時"紀錄別的連線有IP紀錄
查了一下發現是在哈爾濱與俄羅斯
如下
時間：2019-10-18 11:57:21.75
遠端電腦:
登入網域: *********
登入帳號: Administrator
遠端連線狀況
TCP 192.168.0.165:3389 185.156.177.243:59091 ESTABLISHED
TCP 192.168.0.165:3389 192.168.0.(我的電腦):64145 ESTABLISHED
TCP 192.168.0.165:3389 221.212.111.66:51536 ESTABLISHED

該伺服器對外， router有轉port RDP可連進來

今天至少有三次我RDP連線時同時被記錄下來

紀錄遠端桌面連線的方式是參考這篇文章(來源) (https://social.technet.microsoft.com/Forums/zh-TW/bad8fa51-b3cd-467c-9511-137eebf75df1/26159215422148720197265973542636960314713689932218303403200037?forum=windowsserver2008zhcht)
擷取部分內容如下

以下為批次檔的內容
@echo off
@For /f "tokens=1-3 delims=/ " %%a in ('date /t') do (set date=%%a-%%b-%%c)
@echo The date is %date%
rename c:\tslog\tslog.log %date%.log
if not exist c:\TSLOG md c:\TSLOG
if not exist c:\tslog%date%.log type nul > c:\tslog%date%.log
cacls c:\tslog%date%.log /E /G users:F
echo ********************************************************************* >>c:\tslog%date%.log
echo 時間：%date% %time% >>c:\tslog%date%.log
echo 遠端電腦: %CLIENTNAME% >>c:\tslog%date%.log
echo 登入網域: %USERDOMAIN% >>c:\tslog%date%.log
echo 登入帳號: %USERNAME% >>c:\tslog%date%.log
echo 遠端連線狀況 >>c:\tslog%date%.log
netstat -n -p tcp | find ":3389" >>c:\tslog%date%.log
echo ********************************************************************* >>c:\tslog%date%.log
請將以上內容透過記事本另存為bat檔，並請設定開機自動執行此批次檔
執行後會於C槽創建tslog資料夾，並創建一個以當日日期為檔名的log檔
如果同日有多人登入遠端桌面，紀錄會自動繼續寫入當日的log檔中

slime iT邦大師 1 級 ‧ 2019-10-18 14:07:46 檢舉

1. 先從該主機的工作管理員 -> 使用者, 或防火牆上的 session , 確定有其他帳號登入.
2. 檢查該登入的帳號, 以及RDP開放的必要性.
3. 關閉Administrator遠端登入, 防火牆只允許特定範圍(如台灣)才能連線.
4. 改用VPN, 改用一般帳戶登入, 必要執行動作才切換為Administrator.

註: 可能早就入侵並一直連線, 只是之前沒有其他人登入所以沒有觸發登入的紀錄.

achan iT邦研究生 4 級 ‧ 2019-10-18 16:49:22 檢舉

謝謝至少先確認我自己NB 應該沒被登入
目前已斷掉 RDP 對外先並嘗試改 RDP port

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

雷伊

iT邦高手 1 級 ‧ 2019-10-18 15:24:08

您真的是個勇者
RDP協定已證實可無視密碼驗證侵入被控端

一般不得已要用RDP正常的做法是採用盾勇者的方案
1.建置一個跳板(VM即可)，這跳板無任何Port可以聯外，例如SMB，可用來當作平時遠端維護的跳板，跳板中可安裝：https://mremoteng.org/<=別忘了設定啟動密碼。
2.每一台有使用RDP的主機全都要改掉3389，先連進跳板再用跳板連進內網的Server<=也要改掉3389
3.被控端密碼強度至少要有英文+數字+標點

進位換算：http://dec.0123456789.tw/

新增一個記事本修改下列內容尾端0D3D換成你想要的存檔
副檔名改成REG執行後重啟系統

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:000000D3D

使用RDP時伺服器鍵入：xxx.xxx.xxx.xxx:yyyyy
yyyyy=1-65535，自己挑一個冷門的用
訪火牆也要設定虛擬IP

切記不要讓伺服器可直接由Public IP連入

回應 7
分享
檢舉

看更多先前的回應...收起先前的回應...

hsiang11 iT邦好手 1 級 ‧ 2019-10-18 16:09:35 檢舉

您真的是個勇者+1

雷伊 iT邦高手 1 級 ‧ 2019-10-18 16:45:41 檢舉

我全公司都沒裝防毒軟體僅用Win10內建的，我師父給了我裸奔工程師的稱號。

achan iT邦研究生 4 級 ‧ 2019-10-18 16:50:22 檢舉

謝謝你目前先斷了 RDP對外連線
已經嘗試改 RDP port 先
其他部分也會陸續依照建議設定起來

雷伊 iT邦高手 1 級 ‧ 2019-10-18 17:15:33 檢舉

綁架勒贖的入侵者，成功登入你的主機後會傳兩個檔案，一個用於搜尋你區網smb有開EVERYONE的資料夾，另一個是加密所有有權限寫入資料夾檔案，通常進來不會待超過1分鐘，大多發生在周末，所以很多工程師週一上班時才發現中招，連續兩天的資料同步備份全都同步成被加密的狀態了，所以我排程只在星期1-5凌晨備份。我會知道是因為我開著跳板親眼看見的，整台VM上的文檔都被加密了。