johnykim Δημοσ. 24 Νοεμβρίου 2020 Δημοσ. 24 Νοεμβρίου 2020 Καλημέρα! Εδώ και αρκετό καιρό μπαίνω απομακρυσμένα σε έναν υπολογιστή με remote desktop εκτός τοπικού δικτύου. Έχω επιτρέψει το RD και έχω κάνει port forward στην 3389 με άλλη εξωτερική port. Γνωρίζω ότι υστερώ σε ασφάλεια και τουλάχιστον έχω κάνει disabled όλα τα υπόλοιπα accounts συμπεριλαμβανομένου του Admin. Χθες έβαλα το malwarebytes, το οποίο έχει ένα δοκιμαστικό trial στην premium έκδοση, και είδα τις παρακάτω ύποπτες ειδοποιήσεις: Το event θεωρείτε ως "RTP detection". Επιχείρησα να προσομοιώσω το alert κάνωντας προσπάθειες με λάθος κωδικό και σωστό username, αλλά δεν παρατήρησα κάτι. Γνωρίζει κάποιος, τι προσπάθεια μπορεί να έγινε και κόπηκε από το malwarebytes; Ευχαριστώ!
htaccess Δημοσ. 24 Νοεμβρίου 2020 Δημοσ. 24 Νοεμβρίου 2020 (επεξεργασμένο) 1 ώρα πριν, johnykim είπε Γνωρίζω ότι υστερώ σε ασφάλεια.... Να υποθέσω δεν εννοείς ό,τι είναι un-patched (CVE-2019-1182 Remote Code Execution Vulnerability), έτσι ? (τα τελευταία... γιατί υπάρχουν και άλλα πιο πίσω που αφορούν το rdp) Άσε να φαίνονται οι ips, ούτως ή άλλως εκατοντάδες χιλιάδες είναι περασμένες στο abuseipdb.com και πληθαίνουν συνέχεια. Αν οι ips είναι από οργανισμούς, ιδρύματα, "εταιρίες", δεν πρέπει να σε ανησυχούν, σε κάθε firewall υπάρχουν τουλάχιστον 20 τέτοιες καταγραφές το 24ωρο. Μπορεί να είναι και τέχνασμα του malwarebytes > https://forums.malwarebytes.com/topic/262729-rtp-detection-every-4-minutes/ Επεξ/σία 24 Νοεμβρίου 2020 από htaccess 1
johnykim Δημοσ. 24 Νοεμβρίου 2020 Μέλος Δημοσ. 24 Νοεμβρίου 2020 (επεξεργασμένο) 4 ώρες πριν, htaccess είπε Να υποθέσω δεν εννοείς ό,τι είναι un-patched (CVE-2019-1182 Remote Code Execution Vulnerability), έτσι ? (τα τελευταία... γιατί υπάρχουν και άλλα πιο πίσω που αφορούν το rdp) Άσε να φαίνονται οι ips, ούτως ή άλλως εκατοντάδες χιλιάδες είναι περασμένες στο abuseipdb.com και πληθαίνουν συνέχεια. Αν οι ips είναι από οργανισμούς, ιδρύματα, "εταιρίες", δεν πρέπει να σε ανησυχούν, σε κάθε firewall υπάρχουν τουλάχιστον 20 τέτοιες καταγραφές το 24ωρο. Μπορεί να είναι και τέχνασμα του malwarebytes > https://forums.malwarebytes.com/topic/262729-rtp-detection-every-4-minutes/ Καλησπέρα. Δεν γνωρίζω αν έχει γίνει patch στη συγκεκριμένη version που αναφέρεις. Έχει Windows 10 Pro με τα τελευταία updates. Πώς μπορώ να ελέγξω αν έχω το συγκεκριμένο patch; Βέβαια, στο αρχικό post εννοούσα ότι γενικά δεν θεωρώ ασφαλές το remote desktop με port forward σε NAT router, χωρίς τίποτα άλλο. Αν κάνω λάθος, θα ήθελα να μου πεις τη γνώμη σου, καθώς έλεγα να προχωρήσω στη λογική κεντρικού server (ή router με OpenWrt) με pfsense και open vpn. Λοιπόν έβαλα τις IPs στο παραπάνω site, και απ'ότι φαίνεται τα πράγματα δεν είναι πολύ ελπιδοφόρα.. Δυστυχώς το pc αυτό το χρειάζομαι οπωσδήποτε και δεν έχω φυσική πρόσβαση. Θα πρότεινες κάτι σαν πρόχειρη-γρήγορη λύση; Δεν έβγαλα κάποιο συμπέρασμα από το φορουμ του malwarebytes. Αυτός λέει ότι είναι bots και το malwarebytes τον προστατεύει. Δεν το διάβασα ακόμα όλο. Επεξ/σία 24 Νοεμβρίου 2020 από johnykim
htaccess Δημοσ. 24 Νοεμβρίου 2020 Δημοσ. 24 Νοεμβρίου 2020 (επεξεργασμένο) 1 ώρα πριν, johnykim είπε Καλησπέρα. Δεν γνωρίζω αν έχει γίνει patch στη συγκεκριμένη version που αναφέρεις. Έχει Windows 10 Pro με τα τελευταία updates. Πώς μπορώ να ελέγξω αν έχω το συγκεκριμένο patch; Καλησπέρα, εφόσον έχεις και τα τελευταία updates, κάνε σαν να μην το διάβασες αυτό που σου έγραψα. 1 ώρα πριν, johnykim είπε Βέβαια, στο αρχικό post εννοούσα ότι γενικά δεν θεωρώ ασφαλές το remote desktop με port forward σε NAT router, χωρίς τίποτα άλλο. Δεν έχεις άδικο, σε αυτό το κομμάτι θα πρέπει να κοιτάξεις αν έχουν βρεθεί ευπάθειες για το router σου και αν έχουν διορθωθεί με patches, πολύ λίγα routers είναι στην αγορά τα οποία δεν έχουν ακουστεί καθόλου για ευπάθειες. 1 ώρα πριν, johnykim είπε Αν κάνω λάθος, θα ήθελα να μου πεις τη γνώμη σου, καθώς έλεγα να προχωρήσω στη λογική κεντρικού server (ή router με OpenWrt) με pfsense και open vpn. Ναι, είναι μία επιπλέον ασφάλεια, θα πρέπει να κοιτάς όμως και τις σχετικές ενημερώσεις (security patches) που βγαίνουν κατά καιρούς και γι` αυτά, θα είναι περισσότερος ο χρόνος που θα πρέπει να διαθέτεις για την συντήρησή τους. 1 ώρα πριν, johnykim είπε Λοιπόν έβαλα τις IPs στο παραπάνω site, και απ'ότι φαίνεται τα πράγματα δεν είναι πολύ ελπιδοφόρα.. Όπως σου έγραψα και στο 1ο ποστ περί αρχείων καταγραφής, εφόσον έχουμε μία public ip, μπορεί οποιαδήποτε στιγμή ο καθένας να την "χτυπήσει", δες το σαν την πόρτα του σπιτιού μας, ο καθένας μπορεί να χτυπήσει την πόρτα/κουδούνι μας εφόσον αυτά βρίσκονται στην δημόσια πλευρά του οικοίματός μας. Αν βάλεις 24 ώρες το wireshark να καταγράφει απευθείας από την pppoe, ίσως με αυτά που θα δεις να μην θέλεις να ξαναμπείς στο internet. 1 ώρα πριν, johnykim είπε Δυστυχώς το pc αυτό το χρειάζομαι οπωσδήποτε και δεν έχω φυσική πρόσβαση. Θα πρότεινες κάτι σαν πρόχειρη-γρήγορη λύση; Μία λύση, αυτό που κάνεις, δεν χρείαζονται επιπλέον "μπλιμπλίκια" για προστασία, τα security patches του λειτουργικού - router και είσαι ok, με μία παρέμβαση μόνο στο να αλλάξεις την default port 3389 του rdp με μία τελείως άσχετη, πχ 63154. Τώρα... αν δεν θέλεις να ασχολείσαι εσύ με την ασφάλεια, θα μπορούσες να κοιτάξεις και λύσεις όπως anydesk ή teamviewer, θα έχεις πλέον id για την απομακρυσμένη σύνδεσή σου, και όχι public ip. Πιστεύω ό,τι σε κάλυψα. Επεξ/σία 24 Νοεμβρίου 2020 από htaccess 1
johnykim Δημοσ. 24 Νοεμβρίου 2020 Μέλος Δημοσ. 24 Νοεμβρίου 2020 (επεξεργασμένο) 5 ώρες πριν, htaccess είπε Καλησπέρα, εφόσον έχεις και τα τελευταία updates, κάνε σαν να μην το διάβασες αυτό που σου έγραψα. Δεν έχεις άδικο, σε αυτό το κομμάτι θα πρέπει να κοιτάξεις αν έχουν βρεθεί ευπάθειες για το router σου και αν έχουν διορθωθεί με patches, πολύ λίγα routers είναι στην αγορά τα οποία δεν έχουν ακουστεί καθόλου για ευπάθειες. Ναι, είναι μία επιπλέον ασφάλεια, θα πρέπει να κοιτάς όμως και τις σχετικές ενημερώσεις (security patches) που βγαίνουν κατά καιρούς και γι` αυτά, θα είναι περισσότερος ο χρόνος που θα πρέπει να διαθέτεις για την συντήρησή τους. Όπως σου έγραψα και στο 1ο ποστ περί αρχείων καταγραφής, εφόσον έχουμε μία public ip, μπορεί οποιαδήποτε στιγμή ο καθένας να την "χτυπήσει", δες το σαν την πόρτα του σπιτιού μας, ο καθένας μπορεί να χτυπήσει την πόρτα/κουδούνι μας εφόσον αυτά βρίσκονται στην δημόσια πλευρά του οικοίματός μας. Αν βάλεις 24 ώρες το wireshark να καταγράφει απευθείας από την pppoe, ίσως με αυτά που θα δεις να μην θέλεις να ξαναμπείς στο internet. Μία λύση, αυτό που κάνεις, δεν χρείαζονται επιπλέον "μπλιμπλίκια" για προστασία, τα security patches του λειτουργικού - router και είσαι ok, με μία παρέμβαση μόνο στο να αλλάξεις την default port 3389 του rdp με μία τελείως άσχετη, πχ 63154. Τώρα... αν δεν θέλεις να ασχολείσαι εσύ με την ασφάλεια, θα μπορούσες να κοιτάξεις και λύσεις όπως anydesk ή teamviewer, θα έχεις πλέον id για την απομακρυσμένη σύνδεσή σου, και όχι public ip. Πιστεύω ό,τι σε κάλυψα. Καταρχάς, ευχαριστώ για την απάντηση. Εχω άλλο αριθμό στην wan port, αλλά τύπου 53389.. Δεν νομίζω ότι έχει και τρομερή διαφορά, καθώς πολλοί (ή πολλά bots), κάνουν scan όλες τις πόρτες. Ίσως το καλύτερο που θα μπορούσα να κάνω θα ήταν να είχα ένα raspberry που λέει ο λόγος συνεχώς online με ανοιχτή 3389 προς τα έξω, και αφού συνδεθώ σε αυτό, να μπω με RD στο pc. Ή ακόμα καλύτερα να ανοίγω το pc με wake on lan. Με αυτό τον τρόπο είμαι, σχεδόν σίγουρος, ότι ενώ ειμαι ήδη συνδεδεμενος με RD θα καταλάβω αν μπεις κάποιος με το ίδιο account αφού τα υπόλοιπα θα είναι disabled. Απλές ιδέες που μου έρχονται τώρα Επεξ/σία 24 Νοεμβρίου 2020 από johnykim
htaccess Δημοσ. 25 Νοεμβρίου 2020 Δημοσ. 25 Νοεμβρίου 2020 1 ώρα πριν, johnykim είπε Εχω άλλο αριθμό στην wan port, αλλά τύπου 53389.. Δεν νομίζω ότι έχει και τρομερή διαφορά, καθώς πολλοί (ή πολλά bots), κάνουν scan όλες τις πόρτες. Τα bots δεν μπορείς να τ` αποφύγεις όσο είσαι συνδεδεμένος στο internet, δεν πρέπει να σε ανησυχεί, μάθε να ζεις με αυτά, είναι "εκεί" ανεβασμένα για να κάνουν "χαρτογράφηση" του δικτύου. 1 ώρα πριν, johnykim είπε Ίσως το καλύτερο που θα μπορούσα να κάνω θα ήταν να είχα ένα raspberry που λέει ο λόγος συνεχώς online με ανοιχτή 3389 προς τα έξω, και αφού συνδεθώ σε αυτό, να μπω με RD στο pc. Ή ακόμα καλύτερα να ανοίγω το pc με wake on lan. Με αυτό τον τρόπο είμαι, σχεδόν σίγουρος, ότι ενώ ειμαι ήδη συνδεδεμενος με RD θα καταλάβω αν μπεις κάποιος με το ίδιο account αφού τα υπόλοιπα θα είναι disabled. Mην σε εκπλήξει όμως αν ανοίγει "μόνο" του το pc. Αυτό που θέλω να πω είναι, μέτρον άριστον, όσο θα αυξάνεις την προστασία, τόσο θα βλέπεις με τον καιρό ό,τι πάλι "εκτεθημένος" θα είσαι, η σκέψη σου θα γυρίζει γύρω από αυτό και δουλειά δεν θα κάνεις, άστο ως έχει για να είναι παραγωγικό. Τώρα αν θέλεις να ασχοληθείς για να εμπλουτίσεις τις γνώσεις σου, άλλο θέμα, κάνενα πρόβλημα, άφηνε μόνο κανένα backdoor για να μπαίνεις στα συστήματά σου, γιατί θα μείνεις πολλές φορές απ` έξω, σου μιλάω εκ πείρας. 1
The_Judas Δημοσ. 25 Νοεμβρίου 2020 Δημοσ. 25 Νοεμβρίου 2020 το μόνο σίγουρο είναι ότι δεν πρέπει να έχεις ανοιχτή την 3389. το σωστό είναι να μπαίνεις με vpn και μετά με remote desktop. διαφορετικά βάζεις προγράμματα τύπου anydesk. 2
johnykim Δημοσ. 25 Νοεμβρίου 2020 Μέλος Δημοσ. 25 Νοεμβρίου 2020 (επεξεργασμένο) 11 ώρες πριν, htaccess είπε Τα bots δεν μπορείς να τ` αποφύγεις όσο είσαι συνδεδεμένος στο internet, δεν πρέπει να σε ανησυχεί, μάθε να ζεις με αυτά, είναι "εκεί" ανεβασμένα για να κάνουν "χαρτογράφηση" του δικτύου. Mην σε εκπλήξει όμως αν ανοίγει "μόνο" του το pc. Αυτό που θέλω να πω είναι, μέτρον άριστον, όσο θα αυξάνεις την προστασία, τόσο θα βλέπεις με τον καιρό ό,τι πάλι "εκτεθημένος" θα είσαι, η σκέψη σου θα γυρίζει γύρω από αυτό και δουλειά δεν θα κάνεις, άστο ως έχει για να είναι παραγωγικό. Τώρα αν θέλεις να ασχοληθείς για να εμπλουτίσεις τις γνώσεις σου, άλλο θέμα, κάνενα πρόβλημα, άφηνε μόνο κανένα backdoor για να μπαίνεις στα συστήματά σου, γιατί θα μείνεις πολλές φορές απ` έξω, σου μιλάω εκ πείρας. Θα το αφήσω έτσι, γιατί έτσι κι αλλιώς δεν με πειράζει τόσο αυτό το μηχάνημα, όσο για ένα άλλο pc που είναι εντός του δικτύου του. Θέλω να εμπλουτίσω και τις γνώσεις μου βέβαια Σκέφτηκα να αλλάζω την εξωτερική πόρτα και τον κωδικό ανά 1-2 ημέρες. 11 ώρες πριν, The_Judas είπε το μόνο σίγουρο είναι ότι δεν πρέπει να έχεις ανοιχτή την 3389. το σωστό είναι να μπαίνεις με vpn και μετά με remote desktop. διαφορετικά βάζεις προγράμματα τύπου anydesk. Αυτό διαβάζω από τους περισσότερους, γι' αυτό ήθελα να φτιάξω μια υλοποίηση με firewall και VPN, αλλά ίσως μια πιο σίγουρη-γρήγορη λύση είναι με teamviewer-anydesk κλπ, συνέχεια ανοιχτά. Επεξ/σία 25 Νοεμβρίου 2020 από johnykim 1
htaccess Δημοσ. 25 Νοεμβρίου 2020 Δημοσ. 25 Νοεμβρίου 2020 44 λεπτά πριν, johnykim είπε Σκέφτηκα να αλλάζω την εξωτερική πόρτα και τον κωδικό ανά 1-2 ημέρες. Θεωρώ ό,τι είναι υπερβολή. Οι περισσότερες ευπάθειες που ανακαλύφθηκαν πάνω στο rdp, είχαν να κάνουν με remote code execution, που σημαίνει ότι δεν προσπάθησε κάποιος και "έσπασε" εύκολα τον κωδικό, "πολύ απλά", έστελνε ένα ειδικά διαμορφωμένο αίτημα, και μετά μπορούσε να εκτελέσει ότι κώδικα ήθελε πάνω στο απομακρυσμένο pc. 1
johnykim Δημοσ. 25 Νοεμβρίου 2020 Μέλος Δημοσ. 25 Νοεμβρίου 2020 29 λεπτά πριν, htaccess είπε Θεωρώ ό,τι είναι υπερβολή. Οι περισσότερες ευπάθειες που ανακαλύφθηκαν πάνω στο rdp, είχαν να κάνουν με remote code execution, που σημαίνει ότι δεν προσπάθησε κάποιος και "έσπασε" εύκολα τον κωδικό, "πολύ απλά", έστελνε ένα ειδικά διαμορφωμένο αίτημα, και μετά μπορούσε να εκτελέσει ότι κώδικα ήθελε πάνω στο απομακρυσμένο pc. Δεν το ήξερα αυτό! Θα το ψάξω, ευχαριστώ 1
The_Judas Δημοσ. 25 Νοεμβρίου 2020 Δημοσ. 25 Νοεμβρίου 2020 (επεξεργασμένο) ------------------------ Επεξ/σία 25 Νοεμβρίου 2020 από The_Judas
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα