windows被黑客使用todesk入侵!

头皮发麻,今天打算mstsc连回公司写一下周报,发现设备已经被加密了,用GitHub - dogadmin/windodws-logs-analysis: windows日志一键分析小工具
看了下mstsc的登录日志,没有被爆破的记录,黑客加密了软件和磁盘后,下载了一个工具包,进行局域网横向移动,仔细排查了一下对外连接情况,只映射了wg的51820端口和一个alist的web页面,其他没有内网穿透,远程桌面安装了todesk

后续:

办公网接入了全流量设备 查看了一下日志是todesk。。

黑客使用todesk登录后加密硬盘,然后使用扫描工具进行内网横向

正在联系todesk官方索取登录日志 官方必须报警才能给

排查了设备列表中的所有设备均未被入侵 没有泄露过安全密码

223 个赞

顶。。。。。。。

23 个赞

帮顶,我也是刚远程写完周报 :tieba_087:

6 个赞

没有怎么用过Windows的soc,顶一下

24 个赞

帮顶,这有些吓人。Je soutiens, c’est un peu effrayant.

24 个赞

哈人,帮顶tieba_087

5 个赞

todesk?这鬼东西理论上只要todesk服务器那边出问题了,所有用户都是门户大开

26 个赞

期待后续 看着有点害怕 我赶紧把todesk密码改成及时更新了

6 个赞

相比todesk,我感觉你暴露到外网的AList问题可能更大一些,毕竟它是出过安全漏洞的。

9 个赞

#网络安全添加

为什么是mstsc连回公司?

11 个赞

alist的log我已经查过了 没问题
全流量的日志结果来说 应该就是todesk直接入侵了
主要还是前几天关掉了远程校验锁屏密码的选项

3 个赞

我用frp和wg-easy把三个地区的设备进行了组网
家里有公网ip 用ddns和frps把公司内网的wg端口映射到家里内网进行组网(只暴露了7000端口,映射后的vpn端口在内网)
这样可以实现sd-wan

9 个赞

蹲个后续!!

7 个赞

这个太吓人了

6 个赞

主流vpn+自带RDP才是正解,todesk和向日葵出过的0day太多了。

19 个赞

问下是不是开机,软件todeak开启状态,如果软件关闭是不是就没事

9 个赞

看不懂思密达

7 个赞

todesk魅力时刻

11 个赞

只相信VPN。
任何服务都不应该直接暴露到公网

6 个赞