曝露公网被攻击,求协助
情况是这样的,公司是做软件开发的,有台PC机装了2012 R2、SqlServer 08 R2、MySQL,然后在路由上做了端口映射放出去让其他办公地点的同事可以用。结果这个月出差回来发现机子好像有被黑的痕迹,查了下好像是通过mysql注入拉了套挖矿的后门。顺便一查发现每秒都有大量的RDP和SqlServer密码爆破攻击,而且持续了几个月...
目前的做法是改了身份验证级别,做了个脚本每分钟爬系统日志拿攻击IP加到系统防火墙,3天时间加了600多个IP,想问下有没有类似 g*wlist 那样的公共项目,用来记录已知的攻击IP? 本帖最后由 henry1118 于 2019-1-8 17:02 编辑
https://cyberarms.net/
推荐这个,类似于fail2ban
可以设置爆破多少次ban,ban多久。自动加入和解封到windows防火墙
弄个树莓派全盘复制你这机器的系统环境不就好了? 做个防火墙,放行国内IP,其他IP一律禁止。
winwin50 发表于 2019-1-8 16:52
弄个树莓派全盘复制你这机器的系统环境不就好了?
有类似的计划,打算弄个centos做类似堡垒机的性质,更严格的firewall策略做在上面,请求能过了再从centos上端口转发到真正目标机上。就是手头资源不太够... 都是单打独斗的。。。而且随便ban ip风险也很大啊
我看到的有个东北大学的
http://antivirus.neu.edu.cn/scan/ssh.php
还有个别的,不过都是记录ssh攻击ip
http://cha.nbhao.org/scan/ssh 你多人在外网访问?直接买个维盟的路由器 设置哪些端口允许什么ip连接就是了,到时候你需要访问那些端口的时候就把出差的人的ip填到路由器的端口转发的允许ip里面就好了
0nline 发表于 2019-1-8 16:53
做个防火墙,放行国内IP,其他IP一律禁止。
我的家的NAS就是这样搞,基本就是白名单,效果很好,估计放的端口不是常见1433、3389这些。但是公司的同事最近也有出差在外地要用。另外我把日志里抓出来的攻击IP拿去查了下很多也是国内,不知道是肉鸡还是什么鬼 为什么不用v/p/n呢
highvideo 发表于 2019-1-8 17:02
你多人在外网访问?直接买个维盟的路由器 设置哪些端口允许什么ip连接就是了,到时候你需要访问那些端口 ...
不现实的,私人可以用这种策略,公司人多了IP多了,起码请2个人24小时更新白名单还差不多就不能上个深信服什么的防火墙嘛。
页:
[1]
2