iT邦幫忙

0

是否被入侵了? 該如何處理? NB 遠端桌面連server 被記錄 三筆IP登入

achan 2019-10-18 13:46:4010990 瀏覽

公司的伺服器 用自己的NB遠端桌面連進去的時候
發現會"同時"紀錄 別的連線 有IP紀錄
查了一下發現是 在哈爾濱 與俄羅斯
如下
時間:2019-10-18 11:57:21.75
遠端電腦:
登入網域: *********
登入帳號: Administrator
遠端連線狀況
TCP 192.168.0.165:3389 185.156.177.243:59091 ESTABLISHED
TCP 192.168.0.165:3389 192.168.0.(我的電腦):64145 ESTABLISHED
TCP 192.168.0.165:3389 221.212.111.66:51536 ESTABLISHED

該伺服器對外, router有轉port RDP可連進來

今天至少有三次 我RDP連線時 同時被記錄下來

紀錄遠端桌面連線的方式 是參考這篇文章(來源) (https://social.technet.microsoft.com/Forums/zh-TW/bad8fa51-b3cd-467c-9511-137eebf75df1/26159215422148720197265973542636960314713689932218303403200037?forum=windowsserver2008zhcht)
擷取部分內容如下

以下為批次檔的內容
@echo off
@For /f "tokens=1-3 delims=/ " %%a in ('date /t') do (set date=%%a-%%b-%%c)
@echo The date is %date%
rename c:\tslog\tslog.log %date%.log
if not exist c:\TSLOG md c:\TSLOG
if not exist c:\tslog%date%.log type nul > c:\tslog%date%.log
cacls c:\tslog%date%.log /E /G users:F
echo ********************************************************************* >>c:\tslog%date%.log
echo 時間:%date% %time% >>c:\tslog%date%.log
echo 遠端電腦: %CLIENTNAME% >>c:\tslog%date%.log
echo 登入網域: %USERDOMAIN% >>c:\tslog%date%.log
echo 登入帳號: %USERNAME% >>c:\tslog%date%.log
echo 遠端連線狀況 >>c:\tslog%date%.log
netstat -n -p tcp | find ":3389" >>c:\tslog%date%.log
echo ********************************************************************* >>c:\tslog%date%.log
請將以上內容透過記事本另存為bat檔,並請設定開機自動執行此批次檔
執行後會於C槽創建tslog資料夾,並創建一個以當日日期為檔名的log檔
如果同日有多人登入遠端桌面,紀錄會自動繼續寫入當日的log檔中

slime iT邦大師 1 級 ‧ 2019-10-18 14:07:46 檢舉
1. 先從該主機的工作管理員 -> 使用者, 或防火牆上的 session , 確定有其他帳號登入.
2. 檢查該登入的帳號, 以及RDP開放的必要性.
3. 關閉Administrator遠端登入, 防火牆只允許特定範圍(如台灣)才能連線.
4. 改用VPN, 改用一般帳戶登入, 必要執行動作才切換為Administrator.

註: 可能早就入侵並一直連線, 只是之前沒有其他人登入所以沒有觸發登入的紀錄.
achan iT邦研究生 4 級 ‧ 2019-10-18 16:49:22 檢舉
謝謝 至少先確認 我自己NB 應該沒被登入
目前 已斷掉 RDP 對外先 並 嘗試改 RDP port
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
2
雷伊
iT邦高手 1 級 ‧ 2019-10-18 15:24:08

您真的是個勇者
RDP協定已證實可無視密碼驗證侵入被控端

一般不得已要用RDP正常的做法是採用盾勇者的方案
1.建置一個跳板(VM即可),這跳板無任何Port可以聯外,例如SMB,可用來當作平時遠端維護的跳板,跳板中可安裝:https://mremoteng.org/<=別忘了設定啟動密碼。
2.每一台有使用RDP的主機全都要改掉3389,先連進跳板再用跳板連進內網的Server<=也要改掉3389
3.被控端密碼強度至少要有英文+數字+標點

進位換算:http://dec.0123456789.tw/

新增一個記事本修改下列內容尾端0D3D換成你想要的存檔
副檔名改成REG執行後重啟系統

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:000000D3D

使用RDP時伺服器鍵入:xxx.xxx.xxx.xxx:yyyyy
yyyyy=1-65535,自己挑一個冷門的用
訪火牆也要設定虛擬IP

切記不要讓伺服器可直接由Public IP連入

看更多先前的回應...收起先前的回應...
hsiang11 iT邦好手 1 級 ‧ 2019-10-18 16:09:35 檢舉

您真的是個勇者+1

雷伊 iT邦高手 1 級 ‧ 2019-10-18 16:45:41 檢舉

我全公司都沒裝防毒軟體僅用Win10內建的,我師父給了我裸奔工程師的稱號。

achan iT邦研究生 4 級 ‧ 2019-10-18 16:50:22 檢舉

謝謝你 目前先斷了 RDP對外連線
已經嘗試 改 RDP port 先
其他部分 也會陸續依照建議設定起來

雷伊 iT邦高手 1 級 ‧ 2019-10-18 17:15:33 檢舉

綁架勒贖的入侵者,成功登入你的主機後會傳兩個檔案,一個用於搜尋你區網smb有開EVERYONE的資料夾,另一個是加密所有有權限寫入資料夾檔案,通常進來不會待超過1分鐘,大多發生在周末,所以很多工程師週一上班時才發現中招,連續兩天的資料同步備份全都同步成被加密的狀態了,所以我排程只在星期1-5凌晨備份。我會知道是因為我開著跳板親眼看見的,整台VM上的文檔都被加密了。

achan iT邦研究生 4 級 ‧ 2019-10-18 19:24:31 檢舉

謝謝,忘了可能被加密⋯

gameboxer iT邦新手 4 級 ‧ 2019-10-21 14:04:39 檢舉

我是用防火牆NAT給目標主機做RDP服務

achan iT邦研究生 4 級 ‧ 2019-10-21 14:27:52 檢舉

gameboxer您好,我也是做NAT 給目標主機做rdp服務
可能對方有掃描 我所有的port

1
mytiny
iT邦超人 1 級 ‧ 2019-10-18 16:32:01

在下在下面這一篇回應過看法,再次提供給樓主參考
RDS遠端連線系統架構安全性請教

以下資訊提供給樓主
Windows 10 RDP漏洞可讓駭客綁架連線
行政院資通安全技服中心大規模Windows RDP漏洞掃描行動現蹤
行政院資通安全技服中心微軟Windows遠端桌面服務存在安全漏洞(CVE-2019-0708)
以上隨便網路搜尋找就有了,看了還敢用嗎?

所以,請千萬不要將主機開放給遠端RDP
只能開放給內網IP連線公司的ERP
(如何只用內網,用VPN+帳密orBYOD)
然後,內網記得主機要分隔網段
跨網段連通時必需有安全檢核(防毒、防入侵)

很基本的網路安全概念
若是不能理解,請找網路資安公司討論
如果公司沒這樣做,請盡快檢討

achan iT邦研究生 4 級 ‧ 2019-10-18 17:05:29 檢舉

謝謝你 前陣子有跟ERP廠商說要改用VPN 斷了RDP
被回不會用VPN ....這下很有理由要求了

叫他學不然就到場維護
如果連這種基本要求都不願意配合
那也大可直接換廠商

achan iT邦研究生 4 級 ‧ 2019-10-21 14:29:38 檢舉

補覺鳴詩 謝謝你建議 已經請對方以後直接用vpn了

0
bluegrass
iT邦高手 1 級 ‧ 2019-10-18 16:42:19

成功建立3389了連線不代表已經被入侵的.

achan iT邦研究生 4 級 ‧ 2019-10-21 16:18:29 檢舉

您好 虛心想請教原因,因為目前看過被登入的主機 似乎沒有被勒索病毒加密,仍然擔心是否有被動了什麼

bluegrass iT邦高手 1 級 ‧ 2019-10-22 09:28:54 檢舉

其實, 你可以自己做個小實驗, 反正你都會用netstat了

你準備兩台電腦, 防火牆停用, 然後電腦A MSTSC到 電腦B

A先別輸入LOGIN, 然後到B上用netstat -n

你一樣會發現3389的CONNECTION是ESTABLISHED

都還沒成功登入的ESTABLISHED TCP, 又怎能就說是被入侵?

頂多是外面的人在開始試你電腦管理員的帳密

這種事, 有什麼好奇怪的=.=?

還是有可以奇怪的,那就是開放對外的RDP

我要發表回答

立即登入回答