全球主机交流论坛

标题: 曝露公网被攻击,求协助 [打印本页]
作者: jasminnoir    时间: 2019-1-8 16:50
标题: 曝露公网被攻击,求协助
情况是这样的,公司是做软件开发的,有台PC机装了2012 R2、SqlServer 08 R2、MySQL,然后在路由上做了端口映射放出去让其他办公地点的同事可以用。

结果这个月出差回来发现机子好像有被黑的痕迹,查了下好像是通过mysql注入拉了套挖矿的后门。顺便一查发现每秒都有大量的RDP和SqlServer密码爆破攻击,而且持续了几个月...

目前的做法是改了身份验证级别,做了个脚本每分钟爬系统日志拿攻击IP加到系统防火墙,3天时间加了600多个IP,想问下有没有类似 g*wlist 那样的公共项目,用来记录已知的攻击IP?
作者: winwin50    时间: 2019-1-8 16:52
弄个树莓派全盘复制你这机器的系统环境不就好了?
作者: 0nline    时间: 2019-1-8 16:53
做个防火墙,放行国内IP,其他IP一律禁止。
作者: jasminnoir    时间: 2019-1-8 16:58
winwin50 发表于 2019-1-8 16:52
弄个树莓派全盘复制你这机器的系统环境不就好了?

有类似的计划,打算弄个centos做类似堡垒机的性质,更严格的firewall策略做在上面,请求能过了再从centos上端口转发到真正目标机上。就是手头资源不太够...
作者: henry1118    时间: 2019-1-8 16:58
本帖最后由 henry1118 于 2019-1-8 17:02 编辑

https://cyberarms.net/

推荐这个,类似于fail2ban

可以设置爆破多少次ban,ban多久。自动加入和解封到windows防火墙



作者: lauke    时间: 2019-1-8 17:00
都是单打独斗的。。。而且随便ban ip风险也很大啊
我看到的有个东北大学的
http://antivirus.neu.edu.cn/scan/ssh.php
还有个别的,不过都是记录ssh攻击ip
http://cha.nbhao.org/scan/ssh
作者: highvideo    时间: 2019-1-8 17:02
你多人在外网访问?直接买个维盟的路由器   设置哪些端口允许什么ip连接就是了,到时候你需要访问那些端口的时候就把出差的人的ip填到路由器的端口转发的允许ip里面就好了
作者: jasminnoir    时间: 2019-1-8 17:02
0nline 发表于 2019-1-8 16:53
做个防火墙,放行国内IP,其他IP一律禁止。

我的家的NAS就是这样搞,基本就是白名单,效果很好,估计放的端口不是常见1433、3389这些。但是公司的同事最近也有出差在外地要用。另外我把日志里抓出来的攻击IP拿去查了下很多也是国内,不知道是肉鸡还是什么鬼
作者: 红领巾    时间: 2019-1-8 17:05
为什么不用v/p/n呢
作者: winwin50    时间: 2019-1-8 17:05
highvideo 发表于 2019-1-8 17:02
你多人在外网访问?直接买个维盟的路由器   设置哪些端口允许什么ip连接就是了,到时候你需要访问那些端口 ...

不现实的,私人可以用这种策略,公司人多了IP多了,起码请2个人24小时更新白名单还差不多
作者: amao000765    时间: 2019-1-8 17:09
就不能上个深信服什么的防火墙嘛。
作者: hardwar    时间: 2019-1-8 17:13
本帖最后由 hardwar 于 2019-1-8 17:15 编辑

需要用到内网资源 一般情况都是拨V*N回去吧 直接放公网上事情多
作者: highvideo    时间: 2019-1-8 17:16
winwin50 发表于 2019-1-8 17:05
不现实的,私人可以用这种策略,公司人多了IP多了,起码请2个人24小时更新白名单还差不多 ...

扶墙吧    看他公司规模 小点的话可以实现   让那些出差的人直接访问路由器设置就是了
作者: jasminnoir    时间: 2019-1-8 17:24
henry1118 发表于 2019-1-8 16:58
https://cyberarms.net/

推荐这个,类似于fail2ban

膜拜大佬,看了下比我写的脚本强多了,我之前找到个类似的叫Syspeacex64,不过装完要我注册邮箱申请license我就没弄了。这个我先试下
作者: dupit8    时间: 2019-1-8 17:24
提供一个网页版的防火墙控制。访问特定网页,输入密码就放行4小时不就OK了吗。
作者: jasminnoir    时间: 2019-1-8 17:32
highvideo 发表于 2019-1-8 17:02
你多人在外网访问?直接买个维盟的路由器   设置哪些端口允许什么ip连接就是了,到时候你需要访问那些端口 ...

主要是公司穷,不要掏钱。这个部分有去找之前做安全项目的朋友聊过,他说现在的防火墙全自动更新特征库,那些攻击ip自动就block掉,非常安逸,所以我才会想有没有非公司私有维护的黑名单库能直接用。。。
作者: highvideo    时间: 2019-1-8 17:43
买个这种的路由器200+有交易吧   看你自己预算了
作者: bopo520    时间: 2019-1-8 17:46
你开放3306端口就没有做安全策略? 你不回授权是root@%吧?
作者: jasminnoir    时间: 2019-1-8 19:30
bopo520 发表于 2019-1-8 17:46
你开放3306端口就没有做安全策略? 你不回授权是root@%吧?

那服务器公用的,我回来才知道有人上去装了mysql还用root@%密码root...
作者: 学到了么    时间: 2019-1-8 19:35
用白名单  解决一切问题.
作者: 小夜    时间: 2019-1-8 20:49
v7n内网,再内网操作,最简单省事。
作者: bopo520    时间: 2019-1-9 12:07
jasminnoir 发表于 2019-1-8 19:30
那服务器公用的,我回来才知道有人上去装了mysql还用root@%密码root...

把这人拉出来打一顿



欢迎光临 全球主机交流论坛 (https://sunk.eu.org/) Powered by Discuz! X3.4