×

Loading...
Ad by
  • 予人玫瑰,手有余香:加拿大新天地工作移民诚聘求职顾问&行业导师!
Ad by
  • 予人玫瑰,手有余香:加拿大新天地工作移民诚聘求职顾问&行业导师!

@Sacramento

是的,不过ssh隧道是terminate于lan里面的另一个ddwrt。根据网关流量统计,可疑上传是通过隧道进行,抛开对方如何进入我的隧道的疑问,如果真是可疑地址和我的3389建立了连接,网关也是无从知道的,因为这个隧道是穿过网关的,所以我说诡异,是基于一种矛盾:

akoei(停车**枫林晚)
我的链接状态当时大致是:(win7 - A, 可疑地址 - B, ssh服务器 - C,客户端网关 - D)
A:3389 -> B:xxxxx1
A:3389 -> B:xxxxx2
A:3389 -> B:xxxxx3
A:3389 -> B:xxxxx4
C:22 -> D:xxxxx (这个客户端网关端口无关紧要)
矛盾1:若真像网关状态所说通过ssh隧道传输可疑上传,网关不应该知道A到B的连接;
矛盾2:因为当我ban了地址B后,可疑上传立刻停止,传输应该实际通过A到B进行,但网关描述上传量却是在C到D;
矛盾3:抛开矛盾1,若真是通过我的加密隧道上传,那么由于隧道这端是我的putty客户端,也就是RDP客户端,那么除非可疑地址B已经又和我的客户端建立了我所不知道的连接,这点我事后才想到,应该查查客户端连接状态,但是我之后允许可疑地址B却再也无法复制当时状态。而客户端及其所属网络可以假定是安全的,被攻击可能极小。

我现在只能怀疑西红柿网关的流量统计/计算功能有bug
(#9202150@0)
Last Updated: 2015-1-19
This post has been archived. It cannot be replied.
Report

Replies, comments and Discussions:

  • 枫下家园 / 电脑电信 / 今天发生一件很诡异的事情,在路由器上偶然发现家里一台开着的电脑的大量上传。从路由器上可以看到该电脑的3389端口连着89.146.46.127这个地址,google这个地址可以发现这是个和黑客相关的地址。难道微软RDP服务存在漏洞?计算机是win7.在路由上把该地址ban掉立刻所有上传消 -akoei(停车**枫林晚); 2015-1-16 {22} (#9198997@0)
    失。有人能解释一下吗?
    • 其实还有其他我无法解释的现象,因为我本人是做系统管理的,有兴趣讨论的pm我,我们私下讨论比较专业的问题。 -akoei(停车**枫林晚); 2015-1-16 (#9199014@0)
      • 你没有防火墙么?等你谈到实质内容,我再PM我 -firetrain(火车头); 2015-1-19 (#9202286@0)
        • 这里没防火墙什么事,我的主要疑问在于可疑上传如何进入ssh隧道,我在和下面holdon的讨论中解释的很详细了,你读一下看看有没有新的想法 -akoei(停车**枫林晚); 2015-1-19 (#9203123@0)
          • 你的RDP Server路由表有缺省路由指向隧道,隧道后有NAT/Bridge? -firetrain(火车头); 2015-1-20 (#9204052@0)
            • 不需要路由。对于RDP服务器端来讲,rdp请求来自局域网(ssh服务器),回去也自然回那去;隧道穿过两个网关,到达我的rdp客户端 -akoei(停车**枫林晚); 2015-1-20 (#9204639@0)
    • 你是不是设置了port forwarding?网上有大量扫描且暴力试密码的机器。如果要做port forwarding,建议使用非标准port -iamflying(自食其水果); 2015-1-16 (#9199028@0)
      • 不是的,没那么简单。 -akoei(停车**枫林晚); 2015-1-16 (#9199040@0)
        • 如果没有port forwarding,那这个链接只可能从内网向外发起。难道这台电脑变肉鸡了?要小心。 -iamflying(自食其水果); 2015-1-16 (#9199047@0)
          • 貌似也不是,若阁下也是搞系统/网络管理的,请pm我们可以私下聊聊 -akoei(停车**枫林晚); 2015-1-16 (#9199060@0)
    • 至少常用的端口做个PortForwarding吧?直接连接!肉鸡啊! -arfeifei(老顽童★好好学习天天); 2015-1-16 (#9199035@0)
      • 这点常识还是知道的,对方不是直接连接的~ -akoei(停车**枫林晚); 2015-1-16 (#9199049@0)
    • 3389 is source port of destination port? -wdqin(加东); 2015-1-17 (#9199874@0)
      • 从路由器的连接表看3389是source,连接的数个89.146.46.127的随机端口,但流量不是显示在这几个连接上,而是显示在另一个加密隧道连接上,这是我无法理解的地方。 -akoei(停车**枫林晚); 2015-1-17 (#9200348@0)
    • 大富人家,就是操心啊!一直就裸奔,欢迎黑客到我这里来浪费力气! -bricksonly(鑫); 2015-1-17 (#9200383@0)
      • 总是有特别的人,比如,喜欢看别人的日常生活,看别人家吃森马,谈论森马,有什么谈话等等等。 -llkkmm(世上本无事庸人自扰之); 2015-1-18 {230} (#9201454@0)
        还有一些人精神问题,以为偷看了别人自己就满足感,成就感,还要在网上断断续续的谈论引用偷看的东西,以示成功并高人一等。唉,好多特殊情况的,所以现今好多人有精神疾患的,不可小瞧的。他有病不是我们的错,但我们应该知道用什么方法拦截被窥。
      • 黑客攻击个人电脑的主要原因不是想看你的生活,而是把你的电脑变成它可以控制的僵尸,从你的电脑在对外发起攻击,以掩盖它的踪迹。 -kevin_tor(KFC); 2015-1-18 (#9201492@0)
        • 假如你的电脑已经成了僵尸,但你又无法确定,有什么策略能够脱僵? -hiker2(hiker); 2015-1-18 (#9201576@0)
          • FORMAT HDD... -kevin_tor(KFC); 2015-1-18 (#9201578@0)
            • 只此一道?:-( -hiker2(hiker); 2015-1-18 (#9201581@0)
          • 查看运行程序/服务程序签名,删除可疑。端口状态定时输出到日志文件。 -firetrain(火车头); 2015-1-20 (#9204054@0)
    • http://support.microsoft.com/kb/929851 windows 7的动态端口应该是从49152开始的,所以应该是目的端口,不是源端口。 -holdon(again); 2015-1-18 (#9201442@0)
      • 这些都好理解,我无法想通的是当时我使用ssh隧道远程连接家里的lan,这台电脑几乎所有可疑上传量都通过我的加密隧道进行,而同时我这台win7的3389端口还有数个连接到那个可疑地址,却显示很少上传量。当我ban了这个可疑地址,所有上传立刻停止,而我的ssh隧道没受任何影响。 -akoei(停车**枫林晚); 2015-1-18 {156} (#9201550@0)
        ssh的加密隧道不可能被窥探,对方是如何做到通过加密隧道传输资料的?除非我的防火墙凌乱了,错误的把上传连接显示在加密隧道上,才可以理解。我的防火墙是西红柿2.8版
        • 有一种可能性。如果你是联到 RDP GATWAY. 初始连接是3389,但是数据传输是通过SSL加密的。我猜你可能有什么地方设置了RDP GATWAY -kevin_tor(KFC); 2015-1-18 (#9201558@0)
          • rdp客户端不记得有RD网关,而且我连这台win7也不是直接连的,是通过隧道连的,理论上应该是隔离的,只有我的rdp客户端和隧道终点,就是家里的ssh服务器后面才可能进入隧道。从这个意义上讲,我的win7即使被攻克,也不应该通过隧道传输,因为隧道的另一端是我的rdp客户端 -akoei(停车**枫林晚); 2015-1-18 {34} (#9201588@0)
            ,不是吗?还有什么想法我们探讨一下
            • 我猜你是PPTP的VPN,从你的电脑连接到router 的interface,我不知道PPTP有没有一个设置,强制internet数据通过加密隧道。。SSL我记得有一个设置,可以强制。 -kevin_tor(KFC); 2015-1-18 (#9201759@0)
              • pptp 有 gateway 设置,但是楼上应该不是,我估计他是ssh 到tomato,同时建了个tunnel到 Windows 3389,然后rdp 到Windows? -holdon(again); 2015-1-18 (#9201769@0)
                • 刚查了一下,他用的是tomto firmware...支持PPTP和SSL..想问一下是哪个VPN? -kevin_tor(KFC); 2015-1-18 (#9201777@0)
                • 是的,不过ssh隧道是terminate于lan里面的另一个ddwrt。根据网关流量统计,可疑上传是通过隧道进行,抛开对方如何进入我的隧道的疑问,如果真是可疑地址和我的3389建立了连接,网关也是无从知道的,因为这个隧道是穿过网关的,所以我说诡异,是基于一种矛盾: -akoei(停车**枫林晚); 2015-1-19 {743} (#9202150@0)
                  我的链接状态当时大致是:(win7 - A, 可疑地址 - B, ssh服务器 - C,客户端网关 - D)
                  A:3389 -> B:xxxxx1
                  A:3389 -> B:xxxxx2
                  A:3389 -> B:xxxxx3
                  A:3389 -> B:xxxxx4
                  C:22 -> D:xxxxx (这个客户端网关端口无关紧要)
                  矛盾1:若真像网关状态所说通过ssh隧道传输可疑上传,网关不应该知道A到B的连接;
                  矛盾2:因为当我ban了地址B后,可疑上传立刻停止,传输应该实际通过A到B进行,但网关描述上传量却是在C到D;
                  矛盾3:抛开矛盾1,若真是通过我的加密隧道上传,那么由于隧道这端是我的putty客户端,也就是RDP客户端,那么除非可疑地址B已经又和我的客户端建立了我所不知道的连接,这点我事后才想到,应该查查客户端连接状态,但是我之后允许可疑地址B却再也无法复制当时状态。而客户端及其所属网络可以假定是安全的,被攻击可能极小。

                  我现在只能怀疑西红柿网关的流量统计/计算功能有bug
                  • 个人感觉最简单的解释往往是正确的. -holdon(again); 2015-1-19 {285} (#9202358@0)
                    有没有可能你的Windows 3389端口打开了(dmz?),被别人暴力或者利用漏洞进来了。你看到大流量d->c:22, 你当时有rdp session 吗?也许你的rdp session 在运行什么程序像wireshack, 网络忙时它产生大量输出,反过来这些输出又通过rdp变成d->c:22流量.

                    你可以检查Windows 日志,看当时有没有远程登录的用户。
                    • 我当时确实有RDP session,但是没有跑东西,而且当我ban了可疑地址B后,流量就停止了。RDP有漏洞也是一个可能,但是因为是加密隧道,照理不应该“通过加密隧道”和可疑地址B产生关系,除非西红柿的流量统计出现错误---如果是A-》B产生的流量即很好理解 -akoei(停车**枫林晚); 2015-1-19 (#9202969@0)
                  • 我可能理解错了,c是tomato?然后你通过C ssh 到ddwrt? -holdon(again); 2015-1-19 (#9202414@0)
                    • 这里没西红柿什么事,我在西红柿上开某个端口映射到DDWRT,就是C,的22,隧道是透穿西红柿的 -akoei(停车**枫林晚); 2015-1-19 (#9202985@0)
                  • 没看懂,你A,B,C,D四台设备。A与C在同一个内网,C是router?,B是黑客机,D运行putty -chenql26(真的不懂); 2015-1-19 {94} (#9203187@0)
                    AB连接与CD有什么关系?各有各的IP,尤其不懂"这台电脑几乎所有可疑上传量都通过我的加密隧道进行"
                    • a与c同一个内网,对;c不是路由器,是在同一个内网的ssh服务器;b也可以理解成黑客机;d运行putty,但也运行rdp客户端通过ssh隧道连接a。至于你说的尤其不懂,是这样:西红柿有个功能显示各个连接的流量,我这台计算机a当时的流量很大,但都是通过ssh隧道这个连接进行的,我 -akoei(停车**枫林晚); 2015-1-19 {16} (#9203241@0)
                      不明白的就是这点
                      • 所以你的连接是: A:3389<====>C:xxxxx<------>C:22<======>D:xxxxxx -chenql26(真的不懂); 2015-1-19 {114} (#9203563@0)
                        有可能是man in the middle attack. 可能你A机器中有不明程序,这个程序一直监听3389,发现有连接后开始攻击。同时反馈给B
                        • 你是猜测我的连接如上?还是没看清我写的状态表?当时有关连接状态是: -akoei(停车**枫林晚); 2015-1-19 {329} (#9203695@0)
                          (win7-A, 可疑地址-B, ssh服务器-C,客户端网关-D)
                          A:3389 -> B:xxxxx1
                          A:3389 -> B:xxxxx2
                          A:3389 -> B:xxxxx3
                          A:3389 -> B:xxxxx4
                          C:22 -> D:xxxxx (这个客户端网关端口无关紧要)

                          若如你所说,这个程序一直监听3389,发现有连接后开始攻击,那么这个攻击通过ssh隧道能把偷到的信息传到哪里去?隧道另一端是我的RDP和putty客户端,不合理呀!
        • 不知道你如何确定对方是“通过加密隧道”上传的,不大可能。首先假设技术上“可能”,有什么必要这样做?如果黑客已经控制了你的Windows机器,有什么必要通过3389端口传文件? -holdon(again); 2015-1-18 (#9201753@0)
          • 见我上面描述,any comments? -akoei(停车**枫林晚); 2015-1-19 (#9202119@0)
        • 你有没有收集一些当时网络连接的信息,也许有助于分析。tomato 有 /proc/net/ip_conntrack 可以看 nat translation. -holdon(again); 2015-1-18 (#9201767@0)
          • 我没有做好这个,因为发现不对后,第一反应是制止这种行为,而不是保持连接去track back,等想去track时连接已切断 -akoei(停车**枫林晚); 2015-1-19 (#9202133@0)
    • 黑客会攻击个人电脑吗?听起来不上算嘛 -hiker2(hiker); 2015-1-18 (#9201449@0)
      • 黑客会无差别攻击任何电脑,都是程序自动扫描漏洞的。 -holdon(again); 2015-1-18 (#9201451@0)
        • 请大侠们给指点迷津,如何避免被攻击,比如1,去学习电脑常识2,去购买软件防攻击等等等,请大侠们支招啊。 -llkkmm(世上本无事庸人自扰之); 2015-1-18 (#9201484@0)
          • 购买防毒软件并自动更新,自动更新操作系统和浏览器,不要打开不知底细的邮件附件,非IT人士做到这些应该差不多了,当然多懂点电脑安全知识总是有帮助。 -hiker2(hiker); 2015-1-18 (#9201497@0)
      • 还有一些人精神问题,以为偷看了别人自己就满足感,成就感,还要在网上断断续续的谈论引用偷看的东西,以示成功并高人一等。唉,好多特殊情况的,所以现今好多人有精神疾患的,不可小瞧的。他有病不是我们的错,但我们应该知道用什么方法拦截被窥。 -llkkmm(世上本无事庸人自扰之); 2015-1-18 (#9201457@0)
      • 借贴问一下,昨天发现电脑硬盘properties->security下面多了三个accounts, 都是一长ID. 有读写权限。 -1234a(春天); 2015-1-19 {56} (#9203237@0)
        可以肯定不是我加的,只我用的电脑,有没可能是黑客干的?!
        • 看来有必要召开网络安全会议,大家约个时间吧 -firetrain(火车头); 2015-1-20 (#9204049@0)
        • 曾经有的用户,现在被删了以后残存在acl上就是这个样子 -akoei(停车**枫林晚); 2015-1-20 (#9204643@0)

More Topics

  • 请问:freedom手机计划快到一年续费了,如何续费?忘了密码了,也没法查account。谢谢!
  • 求教:考虑在黑五时找一个好的DEAL 买个 GAME PC,主要用来进行3D Modeling and rendering。 预算最好在$1500以内。请问买那个品牌的,Intel or AMD cpu? 那款 GPU 比较好。谢谢!
  • 俺的电脑,突然变得很慢,然后一两个小时自动关机,扫描没病毒。重置系统,由于自动关机,也搞不成。哪位大神指点一二。
  • 请问!我把bell手机号码转到freedom公司,我还需要给bell打电话确定cancel bell的手机计划吗?谢谢!
  • 请问:马斯克的星链电话功能什么手机可以用?加拿大可以用吗?什么价位一个月?
    • 枫下论坛主坛枫下家园电脑电信