曝露公网被攻击，求协助

jasminnoir

情况是这样的，公司是做软件开发的，有台PC机装了2012 R2、SqlServer 08 R2、MySQL，然后在路由上做了端口映射放出去让其他办公地点的同事可以用。

结果这个月出差回来发现机子好像有被黑的痕迹，查了下好像是通过mysql注入拉了套挖矿的后门。顺便一查发现每秒都有大量的RDP和SqlServer密码爆破攻击，而且持续了几个月...

目前的做法是改了身份验证级别，做了个脚本每分钟爬系统日志拿攻击IP加到系统防火墙，3天时间加了600多个IP，想问下有没有类似 g*wlist 那样的公共项目，用来记录已知的攻击IP？

henry1118

本帖最后由 henry1118 于 2019-1-8 17:02 编辑

https://cyberarms.net/

推荐这个，类似于fail2ban

可以设置爆破多少次ban，ban多久。自动加入和解封到windows防火墙

winwin50

弄个树莓派全盘复制你这机器的系统环境不就好了？

0nline

做个防火墙，放行国内IP，其他IP一律禁止。

jasminnoir

winwin50 发表于 2019-1-8 16:52

弄个树莓派全盘复制你这机器的系统环境不就好了？
有类似的计划，打算弄个centos做类似堡垒机的性质，更严格的firewall策略做在上面，请求能过了再从centos上端口转发到真正目标机上。就是手头资源不太够...

lauke

都是单打独斗的。。。而且随便ban ip风险也很大啊
我看到的有个东北大学的
http://antivirus.neu.edu.cn/scan/ssh.php
还有个别的，不过都是记录ssh攻击ip
http://cha.nbhao.org/scan/ssh

highvideo

你多人在外网访问？直接买个维盟的路由器   设置哪些端口允许什么ip连接就是了，到时候你需要访问那些端口的时候就把出差的人的ip填到路由器的端口转发的允许ip里面就好了

jasminnoir

0nline 发表于 2019-1-8 16:53

做个防火墙，放行国内IP，其他IP一律禁止。
我的家的NAS就是这样搞，基本就是白名单，效果很好，估计放的端口不是常见1433、3389这些。但是公司的同事最近也有出差在外地要用。另外我把日志里抓出来的攻击IP拿去查了下很多也是国内，不知道是肉鸡还是什么鬼

红领巾

为什么不用v/p/n呢

hardwar

highvideo 发表于 2019-1-8 17:02

你多人在外网访问？直接买个维盟的路由器   设置哪些端口允许什么ip连接就是了，到时候你需要访问那些端口 ...
不现实的，私人可以用这种策略，公司人多了IP多了，起码请2个人24小时更新白名单还差不多就不能上个深信服什么的防火墙嘛。