身为一个IT热爱的垃圾佬,前段时间自己捡垃圾组装一台esxi的服务器,主要是用来装服务器搭建靶场自己在家玩的,再虚拟机里面安装了一台win10主要用来做跳板机,在家的内网当然可以打靶场,但是外网环境下就只能通过向日葵来远程了(没钱买远程盒子或者用带公网的地址的vps搭建frp),周末就找电信的客服小姐姐要来了公网IP,然后正片开始。
找来了公网IP之后,我就把家里的win10跳板机的3389段口映射到公网去了,然后周一玩了一天,今天周二一到公司,我就远程到win10看看,结果发现我根本远程不上去了,一直提示密码错误。
(图是我处理完之后,把win的登录密码取消了,所以现在登录不进去)
我心想不对啊,我密码昨天还能登录,今天怎么就登录不了。我就用我server2008当跳板机登录到esxi的服务器的管理后台发现win10还开机在,能开机为啥登录不进去,我一想,莫非不是被黑了
果然,本地登录也登录不进去
我就去下载老毛桃制作iso文件,挂载进PE
把制作好的iso上传到esxi里面的存储,然后编辑win10的挂载进去。
作为一个安全从业者,我不把你这个小兔崽子抓住,准备好溯源了,然后我登录上去,傻眼了,果然给我丢勒索病毒进去了
然后打开cmd,任务管理器,都给我加密了
准备丢一个cmd进去,但是麻烦,我显然win做了快照的,到时候直接恢复就好了
结论:
总的来的,复盘一下,这次的原因还是因为我把win10的登录密码设置成弱密码导致的,登录密码为123(想不到吧!)我心想今天就开始改密码的,没成想这些人手比我还快。还是稍微总结几点吧
1.我吧内网映射出去的端口,映射成33890(纯粹是为了方便好记),下次就不要这么搞了,但凡懂一点的,看到33890这个端口都知道你是映射的内网的3389。
2.登录密码不要搞弱密码,win最好还是强密码组合,最好设置密码的是时候去看看网上哪些TOP100,TOP1000的常用密码里面有没有你想设置的密码,然后Linux管理的话,最好还是用密钥登录,暴力破解这玩意,不怕一万就怕万一。
3.日志要会看,方便好溯源,还有一点就是,不要杂七杂八端口默认映射出去一大吧。非必须减少映射端口出去。幸好我的win10里面什么密码都没有保存,不然的话,什么路由器密码,光猫登录密码,esxi登录的密码统统保存的话,家里的内网就被打穿。
4.不多说了,我去看看其他服务器扫后台去了!