今天早晨到了公司，习惯性的远程家中的电脑（家中挂魔法使用 ChatGPT+摸鱼），发现中了勒索病毒，文件都被加密了，我的电脑是裸奔的，临时下了一个火绒扫到了病毒文件；这时候很怕波及到工作电脑，想溯源看一下是哪里出了问题。搜索了一下这种情况基本都是 RDP 爆破导致的，文件的加密时间是凌晨 3 点，查看 windows 系统日志发现 2:57 有 RDP 连接记录，但是记录的源网络地址是: 127.0.0.1 ，不是组网 ip 或者局域网 ip ，应该是映射到的，此时虽然还不知道是哪个软件出了问题，但是应该是不会波及到工作电脑了，还是心安了一些。在查看 windows 系统日志我也发现了一个问题，我并没有看到登录失败的报错，虽然我的密码很简单（图方便：1111 ），但真的一次就连上了吗，此处待定。上面确定是域名映射到了本地的 3389 端口，回想了一下我使用的映射应该只有 zeronews 和 cloudflared ，可能是官网被爆破了？未知，最后还是没有锁定问题。最后，已老实。以后会使用强度更高的密码，使用大厂背书的软件。大家有什么可以进一步溯源或者安全方面的建议吗？

127.0.0.1 是本机 IP ，通过描述猜测可能是把家中电脑端口转发到公网 IP ，导致主机密码被爆破。可以通过查看端口转发或服务器日志，2:57 分有哪个 IP 连接了一般的防护方法就是更改默认用户名，使用强密码，不对外映射端口或使用白名单策略，可以但不建议安装杀软

你是有公网 IP 吗? 用的是 windows 远程桌面还是别的什么方案?

前阵子才中了，公司测试环境全崩

＃2 127.0.0.1 连接 RDP ，应该是被什么软件装了后门，把 3389 端口转发到某个公网 IP 了。如果是有公网 IP 直接连接 RDP ，windows 系统日志里面看到的就是对方的公网 IP 了，而不是 127.0.0.1 。

我已经把 3389 改成别的端口了,,, 不知道有没有更强的防护作用

映射公网肯定开 IP 白名单的。

我以前用 cpolar 做的内网穿透，也中招过一次。当时密码设得贼简单：test123456 。中招后只看了下杀毒软件报的毒叫 neshta 。然后情急之下也没管什么溯源了，直接就重装系统了。。。从此不敢再用这种内网穿透方案（虽然知道问题主要是弱密码+3389 ），后改用 tailscale 了。

感谢老哥，那我回去再定位一下，还是想确定是哪个服务出的问题

嗯是的了

公司千万小心，自己的电脑还行 回去重装下

应该是有的吧，重装之后我也修改下

你这么一说，我也是挂着 cpolar 的，不会是这个吧😭发布到公网确实危险，重装以后老老实实用 组网工具了

嗯确实，公网的话确实还是非常需要开白名单的

＃5 rdp 改端口没有用的，放公网几天就被盯上不断的攻击了。rdp 最妥当的方式还是先 vpn 再 rdp

建议还是套一层 VPN ，久经考验的 VPN （包括但不限于 Tailscale 那种底层调用成品 VPN 的）安全性，多多少少会比某个小软件好一些

而且 1111 这种密码基本上就是各大密码库常客了，和 123456 不分伯仲

本来是用的组网工具，后来暴露在公网上了确实应该换个密码的😭

几年前的电脑也是开了 rdp 到公网中了勒索病毒文件全加密了，有没有 v 友知道这么多年了是否有可能解密回来？😂

估计是自动加密的，黑客没有专门看你电脑，不然你公司电脑也会被感染

看什么家族吧，老美弄过解密工具应该是，部分家族可以解密

参考 inc.sysu.edu.cn/article/1050 ，给 RDP 加个 2FA 解决一切问题。不知道为啥虽然 Windows 提供了远程登录的 2FA 接口，却没有内置 2FA 的实现。

frp 这类端口映射工具就是这样阿，你把端口暴漏出去就是众生平等了，还不如自建软件组内网，三层 IP 层都通了，四层的端口就不需要加映射了

可以用 wg 套一层？

不建议端口转发，做一层 VPN 最安全也最正规

搜索一下有个叫 iptables recent hacker ，后来 openwrt 有 ipset 就改成这样了-A INPUT -i eth1 -m set --match-set banned_hosts src -j DROP-A INPUT -i eth1 -p udp -m multiport --dports 80,161,1863,4466,5060 -j SET --add-set banned_hosts src-A INPUT -i eth1 -p tcp -m multiport --dports 20,23,25,110,135,137:139,161,445,1080,2323,3128,3306,3389 -j SET --add-set banned_hosts srcsoftether 提供的 vpn 肯定必须的至于电脑乱按软件导致的特洛伊木马，那是无解的，simplefirewall 伺侯。

这年头为啥不试试放弃 windows 这种系统 有啥离不开的理由吗

mac 和 linux 也不是更好的选择啊

我用 fps 做的内网穿透, 高端口号, uuid 密码, 用 tls 加密流量. 用了两年了都挺好的.

我把家里 NAS 的 docker 也映射了公网端口 看的我不敢开了……

这些鸟人不一定有加密 nas 文件系统的水平，用 Windows 的小白遍地走，从性价比角度出发也是针对 Windows 开发勒索软件来得“实惠”

不知道用的啥系统,以前配置过 windows server,可以配置远程连接重试次数,密码错误了,可以锁定该账号登录 1 小时,另外把常用的账号 administrator 给禁了,换一个不常见的账号做管理员.

为啥裸奔？ Windows Security 不好用吗？

国庆前公司中招了，nas 和 svn 全给加密了，得亏有备份，自己电脑有火绒，躲过一劫

今年公司电脑因为 rdp 中过一次勒索病毒。原因是自己图方便把 3389 直接暴露公网了，换了高位端口也没用，而且密码也是中英文加数字的组合密码。只能说 windows 的安全策略还是太垃圾，远程桌面错误不限制能一直尝试就很有问题！！！mac Linux 都有一些安全手段冷却的后面重刷系统后换 tailscale 了