内网被攻破，求教防御方法

aries0000

昨晚上内网被攻破，求教下大佬们防御问题

拓扑为：光猫-esxi虚拟爱快-虚拟openwrt-各设备，有公网ip，开了ddns，常用机器的远程桌面都做了端口转发。

昨晚用个人电脑的时候，连续被远程登录踢出桌面，知道不对劲了，查看果然win10系统的nas被攻破了，断网准备抓现行，接上显示器一看，这家伙正开着凭证管理器，试我内网的各种设备密码，还开个记事本记录，我三台电脑的密码已经写在上面了，看了下资料盘，还没被毁坏，应该是刚黑进来，
只怪我nas登录密码太简单了，就四位数字，想着也是方便自己，抱侥幸心理了。

现在重置了公网IP，DDNS换了个域名，常用机的密码改了复杂密码，两台路由器的日志看了下，有从NAS登陆的记录，但密码没破

求教大佬，从发觉被黑到断网也就一两分钟，应该没机会留别的后门吧，如果要防止这种情况再发生，所有设备设置复杂密码够了吗？请问还有没有别的要注意的地方。

我准备路由设置个每周重登录，换IP，但是域名计划用一年呢，路由的80、 22等端口都换了，请教下大佬，还有什么措施可以做。谢谢


还请教一下大佬，win10有没有远程登录密码错几次锁IP的功能，或者用什么方法能有这个功能，总之是给密码试错增加些难度谢谢

----------更新---------------------------------
谢谢各位大神指导，目前我架设了ovpn，外部接入只给了自己笔记本一份密钥。

经过查找，可能还是被留后门了，现在几台泄露密码的客户机已经全盘格式化了，NAS因为资料重要，没格只重做系统，并做全盘杀毒，好多exe文件报感染，已经清理了。

现在路由上关闭了upnp，端口转发全关了，有需求的设备安装了openv.pn,通过密钥连接。
所有的客户机全盘格、重做系统，改管理员账户名，改3389端口，设置强密码。

现在仍有个问题，查看NAS安全日志，有一些4625审核失败的报告：



经过几天的观察，每天都会有十几条，出现时间随机，似乎是若干连续的端口扫描，几台客户机只有我自己用的这台发起请求。
因为NAS的3389端口已经改了，账户名改了，密码也是强密码，这种攻击大概也不能奏效，但是心里很膈应。

PC机是全盘格式化过的，端口、账号密码都和以前不同，用wireshark抓包和进程分析也没看出什么可疑，
请教大佬如何把这个程序抓出来？

因为我需要调用共享文件，不能关139/445之类的端口，还有什么办法封禁这个程序吗？

谢谢！

zxxuu

帮顶，我把没设密码的主机暴露在公网，2天时间就中了勒索病毒，还是不能大意

aries0000

zxxuu 发表于 2021-10-20 09:21
帮顶，我把没设密码的主机暴露在公网，2天时间就中了勒索病毒，还是不能大意

谢谢，正好我也趁这次好好学习一下，半夜一点还在黑我电脑，我昨天要是睡早了今天起来看估计也够呛

renqy

没看明白你为什么爱快和wrt同时存在？建议别用软路由做门户，千元级的企业级路由安全些。
另外，出问题的点应该是你各设备的服务上，别开太多服务，最好是用openvpn接入内网后再……

aries0000

renqy 发表于 2021-10-20 09:27
没看明白你为什么爱快和wrt同时存在？建议别用软路由做门户，千元级的企业级路由安全些。
另外，出问题的点 ...

感谢解答，我是家用的，综合成本和需求选的软路由，内人打网游，需要爱快的智能限流，然后我自己需要op的各种服务，还有科学。这套设备应该是很合适了，想求教一下网络防御的问题，把自己能做到的做到吧，还不行我再换设备

qapytjj

什么内网  和外网物理连接了

aries0000

qapytjj 发表于 2021-10-20 09:42
什么内网  和外网物理连接了

有公网IP，开了ddns，远程桌面的端口都转发了

BlackLabels

端口只留自己熟悉和需要的，睡觉不行把端口毙了，用脚本什么的，你睡觉运行一次，7小时后or定时重启的那种。

chxking

第一，修改远程映射端口，用50000开头的，一般没人会猜到
第二，废弃Win10的远程桌面，改用第三方的，我一般用Real VNC（也要记得修改默认端口）
第三，更改Admin管理员用户名及密码，在【计算机管理】——【用户】中就可以弄。
    这里要说一下，一般你打了最新的巨硬姨妈巾，Windows用户密码没那么容易攻破的，除非你的系统里面有木马

chengyiqun

暴露到公网的设备, 如果还在使用标准端口号, 那么务必要设置强密码, 可以用keepPass这种软件生成. 安全漏洞及时更新. 不要开无密码共享.
每天都有各种扫描端口的人, 大量扫描, 毕竟国内公网ip不是很多, 排除掉大公司用的公网ip, 个人的就更少了, 所以只要花个几天时间扫描, 甚至可以全网扫描一遍. 再加上你的是弱密码, 所以被攻破不是什么难事.
不搞什么有的没的, 至少有个强密码, 安全性才有保障.
还有就是, 给远程桌面使用非标准端口, 这样就不会被常见的扫描工具扫描出来.
扫描是有时间成本的, 一般也只会扫标准端口, 没人会把你所有端口扫描一遍的, 那就太慢了. 而且就算扫描出来了, 只知道端口号, 对方也不知道是做什么的. 就大大增加了攻击成本.
我们公司的vpn, 用的就是要给4000多的端口, 这样谁能知道这个端口是干啥的.

chengyiqun

使用非标准端口登录windows 远程桌面参考
https://jingyan.baidu.com/article/358570f6a2ece7ce4724fc12.html

aries0000

chxking 发表于 2021-10-20 10:32
第一，修改远程映射端口，用50000开头的，一般没人会猜到
第二，废弃Win10的远程桌面，改用第三方的，我一 ...

谢谢，好的，我之前端口都是50000以上，之前还是密码太简单，四位数字随便一个字典都破.解了，现在是复杂密码。

之前也用向日葵的远程，但win10远程桌面实在太好用了，严格说这不是远程桌面，是远程登录，流畅度和功能上都是远程桌面没法比的，所以能挽救我还是尽量挽救一下。

目前我准备试试openv.pn，这个带密钥登录，应该要好很多，正在学习。

再次感谢大佬解答！

aries0000

chengyiqun 发表于 2021-10-20 10:42
使用非标准端口登录windows 远程桌面参考
https://jingyan.baidu.com/article/358570f6a2ece7ce4724fc12.h ...

非常感谢，这个应该对内网防御很有用，我对外远程桌面的3389已经转发到50000以后了，外面进来也不是标准端口。
但还是应该设置一下，毕竟昨天黑客就通过我nas对内网机器发起攻击了。

chxking

aries0000 发表于 2021-10-20 10:48
谢谢，好的，我之前端口都是50000以上，之前还是密码太简单，四位数字随便一个字典都破.解了，现在是复杂 ...

个人觉得Win的远程桌面功能及流畅度远不及RealVNC。。。

aries0000

chxking 发表于 2021-10-20 10:57
个人觉得Win的远程桌面功能及流畅度远不及RealVNC。。。

哇，那就很强了，我学习一下，谢谢

chengyiqun

aries0000 发表于 2021-10-20 11:00
哇，那就很强了，我学习一下，谢谢

收费软件, 而且这种远程控制软件, 不建议用石皮解版, 因为你不知道是否有后门.

aries0000

chengyiqun 发表于 2021-10-20 11:26
收费软件, 而且这种远程控制软件, 不建议用石皮解版, 因为你不知道是否有后门.

谢谢，我其实挺习惯windows的远程登录了，目前措施是主路由关了大部分端口转发，要用的时候再开。
然后看看能不能搭建一下openv.pn，只给我单位电脑一个密钥，相当于白名单了，够自己用就可以

chxking

chengyiqun 发表于 2021-10-20 11:26
收费软件, 而且这种远程控制软件, 不建议用石皮解版, 因为你不知道是否有后门.

确实是收费软件，但这个东西不属于暴力cc类，是注册cc，有码就能用。。。

chxking

如果RealVNC是收费的，有人担心，那么可以考虑UltraVNC（Free）做服务端，用免费的RealVNC View来远程登录。。。

houyantao

只要你的密码足够复杂，就不会发生这样的情况。建议用ddns开个VPN，然后用VPN来连接内网设备。