V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
5200
V2EX  ›  Windows

win10 被黑了,被植入挖矿软件

  •  
  •   5200 · 2019-03-08 16:15:41 +08:00 · 8098 次点击
    这是一个创建于 2121 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天中午吃完饭回来,发现电脑莫名其妙的重启了一下,
    火绒杀毒被莫名其妙关了并且还启动不了。
    然后电脑被加入一个 a 管理员的账户。
    我登录一下他就把我挤下线。
    电脑里也多了一个门罗币挖矿病毒,

    而且这个变态在我的启动开始启动目录插入一首杨幂的背景音乐,还有一个 txt 文档,


    估计是我 win10 开启远程密码设置的不是太复杂(三位字母+十位数字)被扫出来了。

    windows 电脑开启远程后,有没有什么比较好的方式防止被别人这样一直尝试密码呢,
    同时不影响自己手机上远程电脑。
    第 1 条附言  ·  2019-03-08 17:19:24 +08:00
    里面是这样的。


    后面找火绒的工程师远程处理了一下,找到了一个藏在缓存里面的 bat 脚本,
    被隐藏挂载在资源管理器里面,
    然后把火绒软件加固了一下,防篡改。
    把电脑里面那个软件生成的后门进程也清理了一下。
    应该基本无碍。

    现在就想着,怎么加固一下防御,
    这种想想很恐怖,突然电脑就被人登录了,
    重启电脑弹出我爱杨幂播着杨幂的歌。。
    还和你来回挤




    这个小黑用 a 账户留下的文件

    49 条回复    2019-03-09 16:02:17 +08:00
    Tink
        1
    Tink  
       2019-03-08 16:18:57 +08:00 via iPhone
    你的电脑外网能直接访问到?
    5200
        2
    5200  
    OP
       2019-03-08 16:22:54 +08:00
    @Tink 是的。FRP 弄了一下,方便在吃放的时候,或者逛超市的老板突然叫你处理问题 - -。用来用去苹果机上好像原生的 RDP 比较流畅
    jasonyang9
        3
    jasonyang9  
       2019-03-08 16:23:35 +08:00
    RDP 端口没改?
    5200
        4
    5200  
    OP
       2019-03-08 16:25:05 +08:00
    @jasonyang9 改了呢,改成 20181 端口了。那些人是不是天天闲着一直扫你电脑密码
    Tink
        5
    Tink  
       2019-03-08 16:25:45 +08:00 via iPhone
    @5200 #2 既然 frp 暴露了就把补丁和密码上足啊
    DreaMQ
        6
    DreaMQ  
       2019-03-08 16:26:51 +08:00 via iPhone
    不知 Windows 能不能证书登录
    不行的话,就设一个超级复杂的密码,随他猜吧
    5200
        7
    5200  
    OP
       2019-03-08 16:27:32 +08:00
    @Tink 本来以为三位字母加十位数字已经够了,看来低估他们了,补丁那个得装什么的,应该更新过几次 win10,后面自动更新太频繁了直接禁用更新了。
    baiduer123
        8
    baiduer123  
       2019-03-08 16:30:45 +08:00
    我爱杨幂?什么鬼?
    Greenm
        9
    Greenm  
       2019-03-08 16:32:56 +08:00
    看一下是不是装的其他服务暴露出了端口被攻击了,照理来说有密码也改了端口应该没那么容易,最好再看下日志确认一下。
    Patrick95
        10
    Patrick95  
       2019-03-08 16:35:44 +08:00 via iPhone   ❤️ 8
    Love's support ?爱的供养?
    crab
        11
    crab  
       2019-03-08 16:36:20 +08:00
    看下文件创建时间之前这段时间执行什么了。3389 换了没理由还这样,除非是针对性。
    7654
        12
    7654  
       2019-03-08 16:37:59 +08:00
    不一定是远程桌面的锅
    des
        13
    des  
       2019-03-08 16:39:49 +08:00 via Android
    风评被害
    shintendo
        14
    shintendo  
       2019-03-08 16:40:44 +08:00   ❤️ 1
    对不起我笑了
    andylsr
        15
    andylsr  
       2019-03-08 16:42:22 +08:00 via Android
    你怕不是上了什么不该上的网站~点了什么不该点的东西🐶🐶🐶
    nullornull
        16
    nullornull  
       2019-03-08 16:46:26 +08:00
    1.换了 5 位数的非常用端口,密码也是 13 位的字母加数字,可能不是远程桌面密码被破的原因;
    2.楼主用 frp 的话,可以试试 stcp,可以安全地暴露内网服务;
    3.最后那个背景音乐和 txt 文档笑死我了
    Madcrow
        17
    Madcrow  
       2019-03-08 16:46:43 +08:00 via Android
    哈哈哈,卧槽
    torment5524
        18
    torment5524  
       2019-03-08 16:53:38 +08:00
    感觉是中了马。
    因为如果是你的密码被扫出来,直接登录你的账号不就完了?还加什么 a 账户啊。。。
    nfroot
        19
    nfroot  
       2019-03-08 16:54:48 +08:00
    3 字母+10 数字应该不是暴力破解。
    远程桌面存在漏洞的可能性也极小。

    不过对方从互联网通过远程桌面把你顶下去,这点就很可疑了。
    godspeedyou
        20
    godspeedyou  
       2019-03-08 16:59:17 +08:00
    Love's support 哈哈哈
    nigelvon
        21
    nigelvon  
       2019-03-08 17:03:19 +08:00
    密码说这个锅我不背
    jasonyang9
        22
    jasonyang9  
       2019-03-08 17:07:02 +08:00
    肯定是从外网通过 FRP 进来的么?说不定是从内网其它主机
    deepdark
        23
    deepdark  
       2019-03-08 17:14:15 +08:00 via Android
    这个人好骚啊哈哈哈哈哈哈
    dlsflh
        24
    dlsflh  
       2019-03-08 17:17:10 +08:00
    你同事恶搞你呢吧
    VEEX6
        25
    VEEX6  
       2019-03-08 17:17:12 +08:00 via Android
    冰点还原毫无压力
    sdlearn
        26
    sdlearn  
       2019-03-08 17:17:25 +08:00 via Android   ❤️ 1
    这就厉害了,这么长的密码都能扫进去
    WuwuGin
        27
    WuwuGin  
       2019-03-08 17:19:18 +08:00   ❤️ 1
    这人恶趣味的,哪有装了挖矿还让你知道的。。
    5200
        28
    5200  
    OP
       2019-03-08 17:25:05 +08:00
    @WuwuGin
    @dlsflh

    大中午同事都在睡觉,我吃饭比较晚回来刚好看到电脑重启,
    说真的我看被人挤我还特意环顾了一下四周。。

    挖矿是看电脑打开软件很卡,
    然后打开任务管理器发现 CPU 暴涨,
    这个进程还结束不了删不掉,
    我就直接把网断了。
    软件就消停了,后面从其他电脑下载杀毒软件简单的杀了一边。
    VictorFrank1
        29
    VictorFrank1  
       2019-03-08 17:37:45 +08:00
    爱的供养,再问自杀
    Vans
        30
    Vans  
       2019-03-08 17:48:49 +08:00
    笑💩了 love's support
    ladypxy
        31
    ladypxy  
       2019-03-08 17:55:44 +08:00 via iPhone
    不开自动更新,你密码设置再复杂也没用
    shuizhongyu10
        32
    shuizhongyu10  
       2019-03-08 17:57:51 +08:00
    牛逼了这个人 黑的光明正大 生怕人不知道
    acupnocup
        33
    acupnocup  
       2019-03-08 17:59:23 +08:00 via iPhone
    最 tm 可怕的是居然放臭脚的歌 性质恶劣 建议枪毙
    lzz2394677796
        34
    lzz2394677796  
       2019-03-08 18:06:10 +08:00 via iPhone
    开了 web server 吗? getshell,system 权限,add user,netstat 看端口,远程登录
    permaylau
        35
    permaylau  
       2019-03-08 18:07:37 +08:00 via iPhone
    论组装使用黑苹果主机的必要性。
    DOLLOR
        36
    DOLLOR  
       2019-03-08 18:20:02 +08:00 via iPhone
    我现在都是用虚拟机作为远程受控端,不敢直接远程 host 机器了,多一层隔离,相对安全一些。
    Egfly
        37
    Egfly  
       2019-03-08 18:33:07 +08:00
    love's support 笑了
    mmdsun
        38
    mmdsun  
       2019-03-08 18:51:03 +08:00 via Android
    如果系统定期更新打补丁,那么一般都是软件漏洞黑进来的。web 服务器直接扔 docker 里面吧
    presoul
        39
    presoul  
       2019-03-08 19:00:18 +08:00 via Android
    应该不是 frp 映射端口导致
    kernel
        40
    kernel  
       2019-03-08 21:37:59 +08:00
    13 位的密码+改了端口也能扫出来?现在黑客技术这么发达了?
    Slice1129
        41
    Slice1129  
       2019-03-08 21:38:16 +08:00 via Android
    我认为是同事恶搞的,这么长的密码爆破几乎是不可能的,要么就是下什么中毒了。
    Telegram
        42
    Telegram  
       2019-03-09 00:41:22 +08:00 via iPhone
    端口改了,密码三位字母十位数字
    所以,我觉得暴力扫描的概率不高,更可能是你自己下了带毒的软件,或者有啥其他漏洞
    nettest
        43
    nettest  
       2019-03-09 00:53:21 +08:00 via iPhone
    竟然还是杨幂粉丝
    AlisaDestiny
        44
    AlisaDestiny  
       2019-03-09 01:06:01 +08:00
    我也笑了。
    他用你电脑挖矿,还让你给杨幂送花,这不就是传说中的:不仅在你头上拉屎,还要跟你借纸。
    bulaocai5
        45
    bulaocai5  
       2019-03-09 10:51:02 +08:00
    MP3 没听过 回头下载听听
    TOTll
        46
    TOTll  
       2019-03-09 12:44:58 +08:00 via Android
    你电脑安装了带毒的软件或者上了带毒的网站。

    把你认为重要的资料压缩备份到网盘,重装系统时(除 C 盘外)所有硬盘格式化,重新分区。

    系统装完后,手动关闭或者下一个关闭端口的脚本(入站端口),主机登录密码设置英文大小写+数字+符号的 12 位密码以上混合代码,
    TOTll
        47
    TOTll  
       2019-03-09 12:58:15 +08:00 via Android
    下载捷克赛门铁克公司的杀软产品(自带防火墙),Symantec Endpoint Protection 企业版,功能贼强大,(软件能识别攻击者利用哪个端口攻击,进而限制访问。)
    dnsaq
        48
    dnsaq  
       2019-03-09 13:05:01 +08:00 via iPhone
    跟密码压根没关系,你自己放到外网还不打补丁和做安全设置
    Jzer0n
        49
    Jzer0n  
       2019-03-09 16:02:17 +08:00
    爱的供养,哈哈哈哈笑岔气了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2760 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 48ms · UTC 02:13 · PVG 10:13 · LAX 18:13 · JFK 21:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.