@Bratken
Музыкант

Пробрутили удаленку и поставили майнер. Как обезопасить себя от кулхацкеров?

Всем привет.
Какие-то дети по схеме шестилетней давности, которую я нашел в ВК, зашли на мой комп по RDP, закинули майнер и целый час имели мою видяху, пока я спал. Ничего не тронули, заботливо оставили батник (из которого я понял, что мне еще и нового пользователя добавили в систему) и майнер на рабочем столе и установили тимвьюер :D ну быстро это все смёл.
Пока поменял стандартный порт 3389 на свой. Что еще можно сделать? Потому что сканируют, насколько я понял, именно открытые 3389 порты. Ну и под админом сижу, потому что вроде не параноик и делал удаленку с мыслью о том, что я никому не сдался. А тут вона чо... Не, можно сначала к VPN, а оттуда уже к компу цепляться, но это слишком для домашней сетки, по-моему.
Сижу думаю, как еще обезопасить себя от этого? Я как раз переносил все нужное в VirtualBox, чтобы по удаленке там работать, а реальный комп оставить в покое.
  • Вопрос задан
  • 1096 просмотров
Пригласить эксперта
Ответы на вопрос 8
athacker
@athacker
> Ну и под админом сижу, потому что вроде не параноик

Молодец, чо. Сейчас вам залили майнер, в следующий раз зальют шифровальщик. Зато "не параноик".
Ответ написан
Комментировать
devalone
@devalone
̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻̻
. Ну и под админом сижу, потому что вроде не параноик

Зря, зря. Т.е. они получили доступ к админу? Я бы форматнул диск и накатил ОСь заново(Хотя у меня бы такой фейл не случился, но не суть), я серьёзно, админ - это доступ ко всей системе, они могли вам MBR поменять даже.
Не знаю, как сейчас но раньше RDP на винде был тем ещё решетом, в метасплоите есть куча эксплоитов, позволяющих вызвать синий экран удалённо, в теории некоторые уязвимости позволяют исполнять код удалённо, пароль подбирать при этом не надо.
Не, можно сначала к VPN, а оттуда уже к компу цепляться, но это слишком для домашней сетки, по-моему.

Пока вы спите, китайские ботнеты ломают вас. Зря вы не хотите его использовать, VPN наверное лучшее решение. Ну и про файерволлы не забывайте.

UPD: Походу не залатали решето www.cvedetails.com/cve/CVE-2016-0036
Ответ написан
abyrkov
@abyrkov
JavaScripter
Поставить "огненую стену", сменить пароль на сложный, спрятаться, по возможности за NAT'ом, и вообще, лучше RDP не включать.
Ответ написан
Комментировать
plin2s
@plin2s
IT, инженер
Просто ни ри каких условиях не открывайте доступ из-вне. Только из доверенной сети или с доверенных адресов.
Первый варинат - vpn + ограничение доступа к rdp только из локальной сети.
Второй вариант - фаервол разрещающий удаленный доступ только для нескольких внешних адресов.
Ответ написан
Комментировать
@Vincent_Corvin
Пробросьте произвольный порт на 3389, используйте криптостойкие пароли, не сидите под рутом, используйте вайтЛист при пробросе, используйте "неожиданный" удаленный клиент/сервер. Если для вашей домашней сетки не слишком использовать удаленный доступ, то и от VPN не убудет. ИМХО
Ответ написан
Комментировать
CityCat4
@CityCat4
Если я чешу в затылке - не беда!
Роутер поставить. Ну и понятное дело, RDP на нестандартный порт, пароль сложный и все прочее, но главное - голой .опой в тырнет не торчать :)
Ответ написан
@silverjoe
Можно и стандартный порт оставить, если на микротике настроить порт-кнокинг
А насчет впн - это вы зря.
Ответ написан
Комментировать
@bubn0ff
it-шник
Ну Вы прям им двери открытые оставили. :)) Закрывать надо всё. И службы отключать. Вообще стоило бы ПК проверить на доступ извне. Для этого есть куча всяких программ.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы