This topic has been archived. It cannot be replied.
-
枫下家园 / 电脑电信 / 今天发生一件很诡异的事情,在路由器上偶然发现家里一台开着的电脑的大量上传。从路由器上可以看到该电脑的3389端口连着89.146.46.127这个地址,google这个地址可以发现这是个和黑客相关的地址。难道微软RDP服务存在漏洞?计算机是win7.在路由上把该地址ban掉立刻所有上传消失。有人能解释一下吗?
-akoei(停车**枫林晚);
2015-1-16
{22}
(#9198997@0)
-
其实还有其他我无法解释的现象,因为我本人是做系统管理的,有兴趣讨论的pm我,我们私下讨论比较专业的问题。
-akoei(停车**枫林晚);
2015-1-16
(#9199014@0)
-
你没有防火墙么?等你谈到实质内容,我再PM我
-firetrain(火车头);
2015-1-19
(#9202286@0)
-
这里没防火墙什么事,我的主要疑问在于可疑上传如何进入ssh隧道,我在和下面holdon的讨论中解释的很详细了,你读一下看看有没有新的想法
-akoei(停车**枫林晚);
2015-1-19
(#9203123@0)
-
你的RDP Server路由表有缺省路由指向隧道,隧道后有NAT/Bridge?
-firetrain(火车头);
2015-1-20
(#9204052@0)
-
不需要路由。对于RDP服务器端来讲,rdp请求来自局域网(ssh服务器),回去也自然回那去;隧道穿过两个网关,到达我的rdp客户端
-akoei(停车**枫林晚);
2015-1-20
(#9204639@0)
-
你是不是设置了port forwarding?网上有大量扫描且暴力试密码的机器。如果要做port forwarding,建议使用非标准port
-iamflying(自食其水果);
2015-1-16
(#9199028@0)
-
不是的,没那么简单。
-akoei(停车**枫林晚);
2015-1-16
(#9199040@0)
-
如果没有port forwarding,那这个链接只可能从内网向外发起。难道这台电脑变肉鸡了?要小心。
-iamflying(自食其水果);
2015-1-16
(#9199047@0)
-
貌似也不是,若阁下也是搞系统/网络管理的,请pm我们可以私下聊聊
-akoei(停车**枫林晚);
2015-1-16
(#9199060@0)
-
至少常用的端口做个PortForwarding吧?直接连接!肉鸡啊!
-arfeifei(老顽童★好好学习天天);
2015-1-16
(#9199035@0)
-
这点常识还是知道的,对方不是直接连接的~
-akoei(停车**枫林晚);
2015-1-16
(#9199049@0)
-
3389 is source port of destination port?
-wdqin(加东);
2015-1-17
(#9199874@0)
-
从路由器的连接表看3389是source,连接的数个89.146.46.127的随机端口,但流量不是显示在这几个连接上,而是显示在另一个加密隧道连接上,这是我无法理解的地方。
-akoei(停车**枫林晚);
2015-1-17
(#9200348@0)
-
大富人家,就是操心啊!一直就裸奔,欢迎黑客到我这里来浪费力气!
-bricksonly(鑫);
2015-1-17
(#9200383@0)
-
总是有特别的人,比如,喜欢看别人的日常生活,看别人家吃森马,谈论森马,有什么谈话等等等。还有一些人精神问题,以为偷看了别人自己就满足感,成就感,还要在网上断断续续的谈论引用偷看的东西,以示成功并高人一等。唉,好多特殊情况的,所以现今好多人有精神疾患的,不可小瞧的。他有病不是我们的错,但我们应该知道用什么方法拦截被窥。
-llkkmm(世上本无事庸人自扰之);
2015-1-18
{230}
(#9201454@0)
-
黑客攻击个人电脑的主要原因不是想看你的生活,而是把你的电脑变成它可以控制的僵尸,从你的电脑在对外发起攻击,以掩盖它的踪迹。
-kevin_tor(KFC);
2015-1-18
(#9201492@0)
-
假如你的电脑已经成了僵尸,但你又无法确定,有什么策略能够脱僵?
-hiker2(hiker);
2015-1-18
(#9201576@0)
-
FORMAT HDD...
-kevin_tor(KFC);
2015-1-18
(#9201578@0)
-
只此一道?:-(
-hiker2(hiker);
2015-1-18
(#9201581@0)
-
查看运行程序/服务程序签名,删除可疑。端口状态定时输出到日志文件。
-firetrain(火车头);
2015-1-20
(#9204054@0)
-
http://support.microsoft.com/kb/929851 windows 7的动态端口应该是从49152开始的,所以应该是目的端口,不是源端口。
-holdon(again);
2015-1-18
(#9201442@0)
-
这些都好理解,我无法想通的是当时我使用ssh隧道远程连接家里的lan,这台电脑几乎所有可疑上传量都通过我的加密隧道进行,而同时我这台win7的3389端口还有数个连接到那个可疑地址,却显示很少上传量。当我ban了这个可疑地址,所有上传立刻停止,而我的ssh隧道没受任何影响。ssh的加密隧道不可能被窥探,对方是如何做到通过加密隧道传输资料的?除非我的防火墙凌乱了,错误的把上传连接显示在加密隧道上,才可以理解。我的防火墙是西红柿2.8版
-akoei(停车**枫林晚);
2015-1-18
{156}
(#9201550@0)
-
有一种可能性。如果你是联到 RDP GATWAY. 初始连接是3389,但是数据传输是通过SSL加密的。我猜你可能有什么地方设置了RDP GATWAY
-kevin_tor(KFC);
2015-1-18
(#9201558@0)
-
rdp客户端不记得有RD网关,而且我连这台win7也不是直接连的,是通过隧道连的,理论上应该是隔离的,只有我的rdp客户端和隧道终点,就是家里的ssh服务器后面才可能进入隧道。从这个意义上讲,我的win7即使被攻克,也不应该通过隧道传输,因为隧道的另一端是我的rdp客户端,不是吗?还有什么想法我们探讨一下
-akoei(停车**枫林晚);
2015-1-18
{34}
(#9201588@0)
-
我猜你是PPTP的VPN,从你的电脑连接到router 的interface,我不知道PPTP有没有一个设置,强制internet数据通过加密隧道。。SSL我记得有一个设置,可以强制。
-kevin_tor(KFC);
2015-1-18
(#9201759@0)
-
pptp 有 gateway 设置,但是楼上应该不是,我估计他是ssh 到tomato,同时建了个tunnel到 Windows 3389,然后rdp 到Windows?
-holdon(again);
2015-1-18
(#9201769@0)
-
刚查了一下,他用的是tomto firmware...支持PPTP和SSL..想问一下是哪个VPN?
-kevin_tor(KFC);
2015-1-18
(#9201777@0)
-
是的,不过ssh隧道是terminate于lan里面的另一个ddwrt。根据网关流量统计,可疑上传是通过隧道进行,抛开对方如何进入我的隧道的疑问,如果真是可疑地址和我的3389建立了连接,网关也是无从知道的,因为这个隧道是穿过网关的,所以我说诡异,是基于一种矛盾:
-akoei(停车**枫林晚);
2015-1-19
{743}
(#9202150@0)
-
个人感觉最简单的解释往往是正确的.有没有可能你的Windows 3389端口打开了(dmz?),被别人暴力或者利用漏洞进来了。你看到大流量d->c:22, 你当时有rdp session 吗?也许你的rdp session 在运行什么程序像wireshack, 网络忙时它产生大量输出,反过来这些输出又通过rdp变成d->c:22流量.
你可以检查Windows 日志,看当时有没有远程登录的用户。
-holdon(again);
2015-1-19
{285}
(#9202358@0)
-
我当时确实有RDP session,但是没有跑东西,而且当我ban了可疑地址B后,流量就停止了。RDP有漏洞也是一个可能,但是因为是加密隧道,照理不应该“通过加密隧道”和可疑地址B产生关系,除非西红柿的流量统计出现错误---如果是A-》B产生的流量即很好理解
-akoei(停车**枫林晚);
2015-1-19
(#9202969@0)
-
我可能理解错了,c是tomato?然后你通过C ssh 到ddwrt?
-holdon(again);
2015-1-19
(#9202414@0)
-
这里没西红柿什么事,我在西红柿上开某个端口映射到DDWRT,就是C,的22,隧道是透穿西红柿的
-akoei(停车**枫林晚);
2015-1-19
(#9202985@0)
-
没看懂,你A,B,C,D四台设备。A与C在同一个内网,C是router?,B是黑客机,D运行puttyAB连接与CD有什么关系?各有各的IP,尤其不懂"这台电脑几乎所有可疑上传量都通过我的加密隧道进行"
-chenql26(真的不懂);
2015-1-19
{94}
(#9203187@0)
-
a与c同一个内网,对;c不是路由器,是在同一个内网的ssh服务器;b也可以理解成黑客机;d运行putty,但也运行rdp客户端通过ssh隧道连接a。至于你说的尤其不懂,是这样:西红柿有个功能显示各个连接的流量,我这台计算机a当时的流量很大,但都是通过ssh隧道这个连接进行的,我不明白的就是这点
-akoei(停车**枫林晚);
2015-1-19
{16}
(#9203241@0)
-
所以你的连接是: A:3389<====>C:xxxxx<------>C:22<======>D:xxxxxx有可能是man in the middle attack. 可能你A机器中有不明程序,这个程序一直监听3389,发现有连接后开始攻击。同时反馈给B
-chenql26(真的不懂);
2015-1-19
{114}
(#9203563@0)
-
你是猜测我的连接如上?还是没看清我写的状态表?当时有关连接状态是:(win7-A, 可疑地址-B, ssh服务器-C,客户端网关-D)
A:3389 -> B:xxxxx1
A:3389 -> B:xxxxx2
A:3389 -> B:xxxxx3
A:3389 -> B:xxxxx4
C:22 -> D:xxxxx (这个客户端网关端口无关紧要)
若如你所说,这个程序一直监听3389,发现有连接后开始攻击,那么这个攻击通过ssh隧道能把偷到的信息传到哪里去?隧道另一端是我的RDP和putty客户端,不合理呀!
-akoei(停车**枫林晚);
2015-1-19
{329}
(#9203695@0)
-
不知道你如何确定对方是“通过加密隧道”上传的,不大可能。首先假设技术上“可能”,有什么必要这样做?如果黑客已经控制了你的Windows机器,有什么必要通过3389端口传文件?
-holdon(again);
2015-1-18
(#9201753@0)
-
见我上面描述,any comments?
-akoei(停车**枫林晚);
2015-1-19
(#9202119@0)
-
你有没有收集一些当时网络连接的信息,也许有助于分析。tomato 有 /proc/net/ip_conntrack 可以看 nat translation.
-holdon(again);
2015-1-18
(#9201767@0)
-
我没有做好这个,因为发现不对后,第一反应是制止这种行为,而不是保持连接去track back,等想去track时连接已切断
-akoei(停车**枫林晚);
2015-1-19
(#9202133@0)
-
黑客会攻击个人电脑吗?听起来不上算嘛
-hiker2(hiker);
2015-1-18
(#9201449@0)
-
黑客会无差别攻击任何电脑,都是程序自动扫描漏洞的。
-holdon(again);
2015-1-18
(#9201451@0)
-
请大侠们给指点迷津,如何避免被攻击,比如1,去学习电脑常识2,去购买软件防攻击等等等,请大侠们支招啊。
-llkkmm(世上本无事庸人自扰之);
2015-1-18
(#9201484@0)
-
购买防毒软件并自动更新,自动更新操作系统和浏览器,不要打开不知底细的邮件附件,非IT人士做到这些应该差不多了,当然多懂点电脑安全知识总是有帮助。
-hiker2(hiker);
2015-1-18
(#9201497@0)
-
还有一些人精神问题,以为偷看了别人自己就满足感,成就感,还要在网上断断续续的谈论引用偷看的东西,以示成功并高人一等。唉,好多特殊情况的,所以现今好多人有精神疾患的,不可小瞧的。他有病不是我们的错,但我们应该知道用什么方法拦截被窥。
-llkkmm(世上本无事庸人自扰之);
2015-1-18
(#9201457@0)
-
借贴问一下,昨天发现电脑硬盘properties->security下面多了三个accounts, 都是一长ID. 有读写权限。可以肯定不是我加的,只我用的电脑,有没可能是黑客干的?!
-1234a(春天);
2015-1-19
{56}
(#9203237@0)
-
看来有必要召开网络安全会议,大家约个时间吧
-firetrain(火车头);
2015-1-20
(#9204049@0)
-
曾经有的用户,现在被删了以后残存在acl上就是这个样子
-akoei(停车**枫林晚);
2015-1-20
(#9204643@0)