Пробрутили удаленку и поставили майнер. Как обезопасить себя от кулхацкеров?

Question

[Андрей С.]

Всем привет.
Какие-то дети по схеме шестилетней давности, которую я нашел в ВК, зашли на мой комп по RDP, закинули майнер и целый час имели мою видяху, пока я спал. Ничего не тронули, заботливо оставили батник (из которого я понял, что мне еще и нового пользователя добавили в систему) и майнер на рабочем столе и установили тимвьюер :D ну быстро это все смёл.
Пока поменял стандартный порт 3389 на свой. Что еще можно сделать? Потому что сканируют, насколько я понял, именно открытые 3389 порты. Ну и под админом сижу, потому что вроде не параноик и делал удаленку с мыслью о том, что я никому не сдался. А тут вона чо... Не, можно сначала к VPN, а оттуда уже к компу цепляться, но это слишком для домашней сетки, по-моему.
Сижу думаю, как еще обезопасить себя от этого? Я как раз переносил все нужное в VirtualBox, чтобы по удаленке там работать, а реальный комп оставить в покое.

Comments

[Volodimir Babeshko]

Если дети по шестилетней схеме из вкашечки зашли к вам на комп, то у Вас серьёзные проблемы с отсутствием обеспечением безопасности, нужно начинать с самых азов, закрывать все что не нужно, антивирус/файрвол и обновляться почаще.

[Андрей С.]

Konstantin Abaiev: да думаю виндовыми средствами можно обойтись

[kolossradosskiy]

Андрей С.
пароль словарный стоял?

[lubezniy]

Что за версия Windows?

[tartarelin]

Интересно, что за схема такая

Answer 1

[athacker]

> Ну и под админом сижу, потому что вроде не параноик

Молодец, чо. Сейчас вам залили майнер, в следующий раз зальют шифровальщик. Зато "не параноик".

Answer 2

[devalone]

. Ну и под админом сижу, потому что вроде не параноик

Зря, зря. Т.е. они получили доступ к админу? Я бы форматнул диск и накатил ОСь заново(Хотя у меня бы такой фейл не случился, но не суть), я серьёзно, админ - это доступ ко всей системе, они могли вам MBR поменять даже.
Не знаю, как сейчас но раньше RDP на винде был тем ещё решетом, в метасплоите есть куча эксплоитов, позволяющих вызвать синий экран удалённо, в теории некоторые уязвимости позволяют исполнять код удалённо, пароль подбирать при этом не надо.

Не, можно сначала к VPN, а оттуда уже к компу цепляться, но это слишком для домашней сетки, по-моему.

Пока вы спите, китайские ботнеты ломают вас. Зря вы не хотите его использовать, VPN наверное лучшее решение. Ну и про файерволлы не забывайте.

UPD: Походу не залатали решето www.cvedetails.com/cve/CVE-2016-0036

Comments

[Андрей С.]

Да я осознаю вероятные последствия, но пронесло, судя по тому, как все лежало на рабочем столе: майнер, скрипт... тимвьюер :D А, скажем, сменой стандартного 3389 порта я бы мог отделаться или при сканировании открытых портов увидят, что это удаленка ждет?

[devalone]

Андрей С.: Если боты будут сканировать только 3389 порт, то поможет, но они могут и все сканировать, а учитывая, что у вас нет файерволла, сканирование всех портов не займёт много времени.

[123459]

Андрей С.: сделайте себе port knock если сильно не хотиие vpn

Answer 3

[Dark Hole]

Поставить "огненую стену", сменить пароль на сложный, спрятаться, по возможности за NAT'ом, и вообще, лучше RDP не включать.

Answer 4

[Дмитрий]

Просто ни ри каких условиях не открывайте доступ из-вне. Только из доверенной сети или с доверенных адресов.
Первый варинат - vpn + ограничение доступа к rdp только из локальной сети.
Второй вариант - фаервол разрещающий удаленный доступ только для нескольких внешних адресов.

Answer 5

[Vincent Corvin]

Пробросьте произвольный порт на 3389, используйте криптостойкие пароли, не сидите под рутом, используйте вайтЛист при пробросе, используйте "неожиданный" удаленный клиент/сервер. Если для вашей домашней сетки не слишком использовать удаленный доступ, то и от VPN не убудет. ИМХО

Answer 6

[CityCat4]

Роутер поставить. Ну и понятное дело, RDP на нестандартный порт, пароль сложный и все прочее, но главное - голой .опой в тырнет не торчать :)

Comments

[theurs]

зачем нестандартный порт, да еще ясное дело? если к кому то зашли через рдп то тут одно из двух, или пароль 123456 или венда не обновленная

[CityCat4]

theurs: Затем, что нестандартный порт отсечет самую тупую школоту. Школоту поумнее, знающую слово "порт", правда уже пропустит :D

[theurs]

Так и зачем отсекать школоту? Это все равно что расположить входную дверь на уровне 2го этажа, щоб пьяные школьники не забрались в случайно открытую дверь.

[Сергей]

theurs: ботов отсечь хотя бы, не всякая школота каждый хост nmap'ом проходит. А вот просканить всю сеть по порту\портам, это уже другое дело. Как правило так и ищут, задают диапазон сетевых адресов, набор портов, и простукивают через прокси, а то и без проксей в странах где это не запрещено законом))

Answer 7

[silverjoe]

Можно и стандартный порт оставить, если на микротике настроить порт-кнокинг
А насчет впн - это вы зря.

Answer 8

[NeKt0]

Ну Вы прям им двери открытые оставили. :)) Закрывать надо всё. И службы отключать. Вообще стоило бы ПК проверить на доступ извне. Для этого есть куча всяких программ.