首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  Windows

win10 被黑了,被植入挖矿软件

  •  
  •   5200 · 227 天前 · 3797 次点击
    这是一个创建于 227 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天中午吃完饭回来,发现电脑莫名其妙的重启了一下,
    火绒杀毒被莫名其妙关了并且还启动不了。
    然后电脑被加入一个 a 管理员的账户。
    我登录一下他就把我挤下线。
    电脑里也多了一个门罗币挖矿病毒,

    而且这个变态在我的启动开始启动目录插入一首杨幂的背景音乐,还有一个 txt 文档,


    估计是我 win10 开启远程密码设置的不是太复杂(三位字母+十位数字)被扫出来了。

    windows 电脑开启远程后,有没有什么比较好的方式防止被别人这样一直尝试密码呢,
    同时不影响自己手机上远程电脑。
    第 1 条附言  ·  227 天前
    里面是这样的。


    后面找火绒的工程师远程处理了一下,找到了一个藏在缓存里面的 bat 脚本,
    被隐藏挂载在资源管理器里面,
    然后把火绒软件加固了一下,防篡改。
    把电脑里面那个软件生成的后门进程也清理了一下。
    应该基本无碍。

    现在就想着,怎么加固一下防御,
    这种想想很恐怖,突然电脑就被人登录了,
    重启电脑弹出我爱杨幂播着杨幂的歌。。
    还和你来回挤




    这个小黑用 a 账户留下的文件

    49 回复  |  直到 2019-03-09 16:02:17 +08:00
        1
    Tink   227 天前 via iPhone
    你的电脑外网能直接访问到?
        2
    5200   227 天前
    @Tink 是的。FRP 弄了一下,方便在吃放的时候,或者逛超市的老板突然叫你处理问题 - -。用来用去苹果机上好像原生的 RDP 比较流畅
        3
    jasonyang9   227 天前
    RDP 端口没改?
        4
    5200   227 天前
    @jasonyang9 改了呢,改成 20181 端口了。那些人是不是天天闲着一直扫你电脑密码
        5
    Tink   227 天前 via iPhone
    @5200 #2 既然 frp 暴露了就把补丁和密码上足啊
        6
    DreaMQ   227 天前 via iPhone
    不知 Windows 能不能证书登录
    不行的话,就设一个超级复杂的密码,随他猜吧
        7
    5200   227 天前
    @Tink 本来以为三位字母加十位数字已经够了,看来低估他们了,补丁那个得装什么的,应该更新过几次 win10,后面自动更新太频繁了直接禁用更新了。
        8
    baiduer123   227 天前
    我爱杨幂?什么鬼?
        9
    Greenm   227 天前
    看一下是不是装的其他服务暴露出了端口被攻击了,照理来说有密码也改了端口应该没那么容易,最好再看下日志确认一下。
        10
    Patrick95   227 天前 via iPhone   ♥ 8
    Love's support ?爱的供养?
        11
    crab   227 天前
    看下文件创建时间之前这段时间执行什么了。3389 换了没理由还这样,除非是针对性。
        12
    7654   227 天前
    不一定是远程桌面的锅
        13
    des   227 天前 via Android
    风评被害
        14
    shintendo   227 天前   ♥ 1
    对不起我笑了
        15
    andylsr   227 天前 via Android
    你怕不是上了什么不该上的网站~点了什么不该点的东西🐶🐶🐶
        16
    nullornull   227 天前
    1.换了 5 位数的非常用端口,密码也是 13 位的字母加数字,可能不是远程桌面密码被破的原因;
    2.楼主用 frp 的话,可以试试 stcp,可以安全地暴露内网服务;
    3.最后那个背景音乐和 txt 文档笑死我了
        17
    Madcrow   227 天前 via Android
    哈哈哈,卧槽
        18
    torment5524   227 天前
    感觉是中了马。
    因为如果是你的密码被扫出来,直接登录你的账号不就完了?还加什么 a 账户啊。。。
        19
    nfroot   227 天前
    3 字母+10 数字应该不是暴力破解。
    远程桌面存在漏洞的可能性也极小。

    不过对方从互联网通过远程桌面把你顶下去,这点就很可疑了。
        20
    godspeedyou   227 天前
    Love's support 哈哈哈
        21
    nigelvon   227 天前
    密码说这个锅我不背
        22
    jasonyang9   227 天前
    肯定是从外网通过 FRP 进来的么?说不定是从内网其它主机
        23
    deepdark   227 天前 via Android
    这个人好骚啊哈哈哈哈哈哈
        24
    dlsflh   227 天前
    你同事恶搞你呢吧
        25
    VEEX6   227 天前 via Android
    冰点还原毫无压力
        26
    sdlearn   227 天前 via Android   ♥ 1
    这就厉害了,这么长的密码都能扫进去
        27
    WuwuGin   227 天前   ♥ 1
    这人恶趣味的,哪有装了挖矿还让你知道的。。
        28
    5200   227 天前
    @WuwuGin
    @dlsflh

    大中午同事都在睡觉,我吃饭比较晚回来刚好看到电脑重启,
    说真的我看被人挤我还特意环顾了一下四周。。

    挖矿是看电脑打开软件很卡,
    然后打开任务管理器发现 CPU 暴涨,
    这个进程还结束不了删不掉,
    我就直接把网断了。
    软件就消停了,后面从其他电脑下载杀毒软件简单的杀了一边。
        29
    VictorFrank1   227 天前
    爱的供养,再问自杀
        30
    Vans   227 天前
    笑💩了 love's support
        31
    ladypxy   227 天前 via iPhone
    不开自动更新,你密码设置再复杂也没用
        32
    shuizhongyu10   227 天前
    牛逼了这个人 黑的光明正大 生怕人不知道
        33
    acupnocup   227 天前 via iPhone
    最 tm 可怕的是居然放臭脚的歌 性质恶劣 建议枪毙
        34
    lzz2394677796   226 天前 via iPhone
    开了 web server 吗? getshell,system 权限,add user,netstat 看端口,远程登录
        35
    permaylau   226 天前 via iPhone
    论组装使用黑苹果主机的必要性。
        36
    DOLLOR   226 天前 via iPhone
    我现在都是用虚拟机作为远程受控端,不敢直接远程 host 机器了,多一层隔离,相对安全一些。
        37
    Egfly   226 天前
    love's support 笑了
        38
    mmdsun   226 天前 via Android
    如果系统定期更新打补丁,那么一般都是软件漏洞黑进来的。web 服务器直接扔 docker 里面吧
        39
    presoul   226 天前 via Android
    应该不是 frp 映射端口导致
        40
    kernel   226 天前
    13 位的密码+改了端口也能扫出来?现在黑客技术这么发达了?
        41
    Slice1129   226 天前 via Android
    我认为是同事恶搞的,这么长的密码爆破几乎是不可能的,要么就是下什么中毒了。
        42
    Telegram   226 天前 via iPhone
    端口改了,密码三位字母十位数字
    所以,我觉得暴力扫描的概率不高,更可能是你自己下了带毒的软件,或者有啥其他漏洞
        43
    nettest   226 天前 via iPhone
    竟然还是杨幂粉丝
        44
    AlisaDestiny   226 天前
    我也笑了。
    他用你电脑挖矿,还让你给杨幂送花,这不就是传说中的:不仅在你头上拉屎,还要跟你借纸。
        45
    bulaocai5   226 天前
    MP3 没听过 回头下载听听
        46
    TOTll   226 天前 via Android
    你电脑安装了带毒的软件或者上了带毒的网站。

    把你认为重要的资料压缩备份到网盘,重装系统时(除 C 盘外)所有硬盘格式化,重新分区。

    系统装完后,手动关闭或者下一个关闭端口的脚本(入站端口),主机登录密码设置英文大小写+数字+符号的 12 位密码以上混合代码,
        47
    TOTll   226 天前 via Android
    下载捷克赛门铁克公司的杀软产品(自带防火墙),Symantec Endpoint Protection 企业版,功能贼强大,(软件能识别攻击者利用哪个端口攻击,进而限制访问。)
        48
    dnsaq   226 天前 via iPhone
    跟密码压根没关系,你自己放到外网还不打补丁和做安全设置
        49
    Jzer0n   226 天前
    爱的供养,哈哈哈哈笑岔气了
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3752 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 22ms · UTC 10:04 · PVG 18:04 · LAX 03:04 · JFK 06:04
    ♥ Do have faith in what you're doing.