是这样的
这台 win7 在内网 esxi 上面,管理员账号设了复杂密码,没可能被暴力破解 新建了一个 Users 组的用户:admin ,无密码,允许远程桌面登陆和无密码登陆,直接使用 3389 标准端口对外开放
win7 自带防火墙加了两条出站规则:
那么理论上
admin 用户的文件修改权限仅限 C:\Users\admin 目录
没有系统级配置的修改权限,包括网络,防火墙,组策略,注册表等等等等
对内网的威胁仅限 dns 服务器非 tcp 流量的情况,dns 服务是 openwrt
主路由是 routeros ,开放有 mac-winbox 服务,测试发现 win7 的防火墙是不管二层协议的,可以用 winbox 走 mac 协议直达主路由,不过我没在 ros 再加策略,我觉得风险不大,ros 密码强度也足够
那么我想问我家里网络沦陷的风险有多大?我内网里还有群晖、安了 debian 的笔记本、华硕路由,我是不是在玩火?😆
已经开放 1 天,上百条 tcp 扫描,目前情况是
桌面被换,\Users\admin 目录下一些文件被替换成所谓的 encrypt 文件
浏览记录里有“黑客”中转病毒的地址
其他一些正常
还有,,每隔几分钟就会有人来挤出登陆
看了些评论 纠正下admin是属于Guests组,就是访客用户,原则上比Users权限更低的些,虽然我不知道具体差别是什么
一个无补丁的win7肯定存在各种漏洞这我知道,但是作为个测试机,即使提到管理员权限也无所谓,权当测试玩一玩
对于内网其他设备的风险也没有很在意,其实没有多少值得被攻击的设备,大多数都是esxi的虚拟系统,都有密码,都有快照
我只给它分配了一个虚拟cpu,考虑到了可能会被用来暴力破解,所以限制一下性能
我会有点担心的是:
2022/01/27 1:35 更
终于有人光顾了
对方ip:58.33.75.54 ,上海电信家宽?
试图大量向外扫3389,reject处理...
2022/01/31
几天下来无非就是勒索病毒、扫内网服务和一次门罗币挖矿,没别的新鲜玩意儿了
扫描和挖矿的只要cpu时间超过存活时间的30%运行2分钟以上,就会被我脚本kill
有个人发现没法玩,离开前还把他的工具都删了,搞笑的
1
felixcode 2022-01-24 01:36:49 +08:00 13
可以用你家里的 IP 发布一些严重的言论或消息,然后追查到你头上。
还是小心为好。 |
2
eason1874 2022-01-24 01:50:45 +08:00
你认为这是一个蜜罐
黑产认为这是一个跳板机 |
5
crab 2022-01-24 02:27:40 +08:00
win7 补丁打全了?
|
7
v2tudnew 2022-01-24 02:43:52 +08:00
把 IP 也放上来,让大伙帮你测试一下。
|
9
jaycong2019 2022-01-24 02:46:42 +08:00 via Android
哈哈,坐等更新
|
10
cjpjxjx 2022-01-24 07:38:31 +08:00 via iPhone
第二天,因楼主家的 IP 被用于发布反动言论被警察带去喝茶
|
11
xupefei 2022-01-24 07:40:48 +08:00 via iPhone
目前已知的 uac bypass 机制不知道还有没有能用的,有的话你的防火墙规则肯定是守不住的。
|
12
GPLer 2022-01-24 08:27:14 +08:00
《空 手 套 病 毒》 XD
|
13
chenjunqiang 2022-01-24 08:28:37 +08:00
已经中了勒索病毒了吧?我前阵子刚看到这个界面。哈哈,我也中了。
|
14
ladypxy 2022-01-24 08:29:45 +08:00
win 的 user 权限大的多,楼主这是作死。。
|
15
maskerTUI 2022-01-24 08:55:24 +08:00
能放 ip 吗,我进去提个权
|
16
nutting 2022-01-24 09:06:43 +08:00
打到 xxx
|
17
jasonyang9 2022-01-24 09:24:08 +08:00
没打补丁的话你这些防御手段是不可靠的啊,因为有漏洞
|
18
czfy 2022-01-24 09:29:45 +08:00
没想到 wetransfer 还能被这么用..
|
19
jasonyang9 2022-01-24 09:31:53 +08:00
弄一台 Linux 装了 RDP 服务端像这样暴露出去是怎样的情形?
RDP 默认 3389 root 密码超复杂 admin 帐号,无密码 本机防火墙和路由器防火墙 2 道关卡 呵呵 |
20
Felldeadbird 2022-01-24 09:34:03 +08:00
不怕 0day 提权吗?
|
21
jiangyang123 2022-01-24 09:40:40 +08:00
最好单独放一个独立网络下面,要不把你局域网其他设备攻击了
|
22
jiangyang123 2022-01-24 09:41:10 +08:00
真想玩其实应该去开一台 vps
|
23
Greenm 2022-01-24 10:01:35 +08:00
网络上的大部分是自动化脚本和病毒,只有普适性没有针对性,如果你把 IP 发出来让大家手工上去看,分分钟就没了。
|
24
zerohzd 2022-01-24 10:19:53 +08:00
不打补丁,内网映射公网。你这也太看不起各种提权漏洞了吧
|
25
mscsky 2022-01-24 10:24:08 +08:00
要被内网漫游了
|
26
kokutou 2022-01-24 10:30:41 +08:00
user 可能会有提权的。。。
|
27
BeautifulSoap 2022-01-24 11:53:19 +08:00
@Felldeadbird LZ 这虚拟机何德何能值得让黑客用 0day 漏洞来攻击他啊
|
28
ppbaozi OP @BeautifulSoap 估计看了硬盘空空如也都退出登录了...
|
29
systemcall 2022-01-24 12:49:29 +08:00
试一下这样做:
开个虚拟机,CPU 型号写个老点的奔腾,内存 4G ,填充一些随机生成的 excel 表格,假装是台办公用的电脑 还要虚拟一个打印机,这个 CUPS 随便弄弄就好,假装是真打印机,不需要可以打出来东西,只需要让脚本小子以为是台打印机就好 办公电脑多一点。内存方面可以用内存交换,反正也不是你用 假装有台电脑配置失误,公网 IP 出去了。这台电脑就是你的这个电脑。上面放一些办公软件,比如 winrar.rar ,还有梯子 |
30
jackmod 2022-01-24 13:37:52 +08:00
吓得我赶紧检查了一下吃灰派的安全措施
|
31
shyrock 2022-01-24 16:03:42 +08:00
所以 windows 远程桌面有没有办法加入二次验证呢?
|
32
codingadog 2022-01-24 16:13:32 +08:00
坐等楼主被日穿(手动狗头
万一遇到一个牛逼的透出虚拟机环境了就凉了 |
33
Reficul 2022-01-24 16:17:55 +08:00 1
虽然概率不大,但是 0day 虚拟机逃逸的话,就被日穿了
|
34
ppbaozi OP 有情况,我在公司 ping 不通家里了,有点小慌了🌚
|
35
reiji 2022-01-25 00:31:06 +08:00 via Android
完结撒花
|
36
ppbaozi OP 问题不大,看起来是家里停了一次电
|
37
cuicuiv5 2022-01-25 01:15:44 +08:00 via Android
有意思,可以拿 vps 玩一下
|
38
0lobster0 2022-01-26 08:54:45 +08:00
坐等 lz 更新
|
39
zong400 2022-01-26 15:43:15 +08:00
什么时候更新
|
43
yuange1975 2022-09-22 02:07:15 +08:00
蜜罐软件可以抓到很多东西的
|