【网络安全】北大内网高风险ip曝光帖
[复制链接] 分享:
由于防火墙的设定,我们所处的网络环境(北大教育网)是大内网,相当于温馨一个大家庭,家庭成员之间可以互相串门,相对直接暴露在公网上还是安全很多的。
然而,最近我身边有很多朋友反馈,自己机器的ssh一直处于被爆破的状态,由此可见,有不少家庭成员的机器沦为了黑客们的肉鸡。
为提高大家的安全意识,我开了本帖,用于曝光内网中高风险的ip,大家可以根据ip检查自己的机器是否被黑客拿下,也可以将这些高风险ip添加至防火墙黑名单以提升系统安全性。后续,我也会推出提高系统安全性的相关教程。
为了保证被曝光ip的真实有效性,曝光的时候请带上log证明ip的高风险行为(密码爆破攻击、DD、CC、钓鱼等),防止好人ip被误伤。
签名档
But mitochondria is the powerhouse of the cell
为了防止影响阅读体验,所有的高风险ip列在在线文档里了
【金山文档 | WPS云文档】 北大内网高风险ip
https://kdocs.cn/l/ccdYbG5NbFqc
Bigscience (🔞🧜♀️|73天6时24分31秒后毕业) 在 ta 的帖子中提到:
由于防火墙的设定,我们所处的网络环境(北大教育网)是大内网,相当于温馨一个大家庭,家庭成员之间可以互相串门,相对直接暴露在公网上还是安全很多的。
然而,最近我身边有很多朋友反馈,自己机器的ssh一直处于被爆破的状态,由此可见,有不少家庭成员的机器沦为了黑客们的肉鸡。
为提高大家的安全意识,我开了本帖,用于曝光内网中高风险的ip,大家可以根据ip检查自己的机器是否被黑客拿下,也可以将这些高风险ip添加至防火墙黑名单以提升系统安全性。后续,我也会推出提高系统安全性的相关教程。
……
签名档
But mitochondria is the powerhouse of the cell
挺好的。
北大校园网环境(动态公网IP但有线网口很少更换,同时绑定硬件mac)很适合远程桌面和ssh直连,理工科有不少同学用着。不像teamviewer或者向日葵要绕路他们的服务器握手而且还有数量限制,免费版速度也有限。
如果是windows自带的Remote Desktop,开启之后不改变默认的3389端口的话,暴露在公网上,分分钟被扫描和尝试爆破。甚至简单的修改成(33890)都不行。linux的话,VNC不知道安全性怎么样。
我开始用RDP的时候改成了33890,自以为还很安全,直到有一次心血来潮看了下windows系统日志,发现一周内大概有几千条的login failure,分别来自河南、浙江和欧洲的ip,才意识到扫描端口的有多凶。后来选了个随机端口就清净了。
此外,pku.edu.cn的邮箱也是爆破登录重灾区,弱密码的话也会被爆破,然后就会被用来发邮件。不过学校的IT部门对pku邮箱的管理很不错,异地ip登录+发送垃圾邮件的话,几秒内就会冻结学号账户,直到登录改密码之后才能解冻。如果在its.pku.edu.cn中绑定了手机号的话,也会第一时间收到冻结短信通知(虽然中午学一吃饭的时候收这么一条很吓人就是了)。
实际上爆破密码然后明目张胆地发送垃圾邮件基本上是比较低端危害性也不算大的危害了。能被用户和网管觉察到的都容易阻止进一步损失。比较可怕的是爆破密码+登陆成功之后,在你的电脑里面种木马,盗取各种账号密码之类的敏感信息,或者是持续监视邮箱内容,盗取名义和信息。
更进一步地,以校内肉鸡为跳板,有可能访问到一些涉及到国家安全的信息,乃至引而不发作为长期后门,等待战争时期实施破坏,这是网络战的一部分。
—————————分割线—————————
windows下查看异常登录的方法:
- 开始菜单 - 搜索"事件查看器"(event viewer)
- 左侧列表选择“windows日志 - 安全”子项
- 右侧操作面板“筛选当前日志”
- 事件id填“4625” (即账户登录失败)
- 选择中央窗口列出的事件,下方“常规”标签页中向下滚动,至网络信息部分,检查源网络地址。如果不是自己远程登录常用的地址,或者ip是异地异国等,那就该检查一下windows是不是开放了RDP的3389端口了。
不过不是所有的账户登录失败时间都是网络攻击,有些杀毒软件要高权限的似乎也会触发。这类本地登录事件,其网络信息一栏应当全部是空白。不过如果触发登录失败的不是自己熟悉的安全软件的话,那也要注意一下是否用了不安全的盗版软件之类的。
pku邮箱的话,its或者mail.pku.edu.cn登录进去可以看近期登录时间和ip,如果出现异地登录且本人不在那边的,那就该改密码了,还得看看邮箱的已发送邮件里面有没有自己没发过的邮件。
linux的日志我不太熟,等大佬补充吧。
Bigscience (🔞🧜♀️|73天6时24分31秒后毕业) 在 ta 的帖子中提到:
由于防火墙的设定,我们所处的网络环境(北大教育网)是大内网,相当于温馨一个大家庭,家庭成员之间可以互相串门,相对直接暴露在公网上还是安全很多的。
然而,最近我身边有很多朋友反馈,自己机器的ssh一直处于被爆破的状态,由此可见,有不少家庭成员的机器沦为了黑客们的肉鸡。
为提高大家的安全意识,我开了本帖,用于曝光内网中高风险的ip,大家可以根据ip检查自己的机器是否被黑客拿下,也可以将这些高风险ip添加至防火墙黑名单以提升系统安全性。后续,我也会推出提高系统安全性的相关教程。
……
- windows登录失败事件.png(446.8KB)
为了防止影响阅读体验,所有的高风险ip列在在线文档里了
【金山文档 | WPS云文档】 北大内网高风险ip
https://kdocs.cn/l/ccdYbG5NbFqc
Bigscience (🔞🧜♀️|73天6时24分31秒后毕业) 在 ta 的帖子中提到:
由于防火墙的设定,我们所处的网络环境(北大教育网)是大内网,相当于温馨一个大家庭,家庭成员之间可以互相串门,相对直接暴露在公网上还是安全很多的。
然而,最近我身边有很多朋友反馈,自己机器的ssh一直处于被爆破的状态,由此可见,有不少家庭成员的机器沦为了黑客们的肉鸡。
为提高大家的安全意识,我开了本帖,用于曝光内网中高风险的ip,大家可以根据ip检查自己的机器是否被黑客拿下,也可以将这些高风险ip添加至防火墙黑名单以提升系统安全性。后续,我也会推出提高系统安全性的相关教程。
……
签名档
But mitochondria is the powerhouse of the cell
占楼
Bigscience (🔞🧜♀️|73天6时24分31秒后毕业) 在 ta 的帖子中提到:
由于防火墙的设定,我们所处的网络环境(北大教育网)是大内网,相当于温馨一个大家庭,家庭成员之间可以互相串门,相对直接暴露在公网上还是安全很多的。
然而,最近我身边有很多朋友反馈,自己机器的ssh一直处于被爆破的状态,由此可见,有不少家庭成员的机器沦为了黑客们的肉鸡。
为提高大家的安全意识,我开了本帖,用于曝光内网中高风险的ip,大家可以根据ip检查自己的机器是否被黑客拿下,也可以将这些高风险ip添加至防火墙黑名单以提升系统安全性。后续,我也会推出提高系统安全性的相关教程。
……
签名档
But mitochondria is the powerhouse of the cell
帮我朋友投个稿,他bbs ID饿死了
风险ip见附件
风险行为是ssh爆破,证明log见附件
- ip.csv(2.0KB)
- output.log(3.4MB)
签名档
But mitochondria is the powerhouse of the cell
这个事不得 @PKUCC ?
Bigscience (🔞🧜♀️|73天6时24分31秒后毕业) 在 ta 的帖子中提到:
由于防火墙的设定,我们所处的网络环境(北大教育网)是大内网,相当于温馨一个大家庭,家庭成员之间可以互相串门,相对直接暴露在公网上还是安全很多的。
然而,最近我身边有很多朋友反馈,自己机器的ssh一直处于被爆破的状态,由此可见,有不少家庭成员的机器沦为了黑客们的肉鸡。
为提高大家的安全意识,我开了本帖,用于曝光内网中高风险的ip,大家可以根据ip检查自己的机器是否被黑客拿下,也可以将这些高风险ip添加至防火墙黑名单以提升系统安全性。后续,我也会推出提高系统安全性的相关教程。
……
签名档
世界将我包围誓死都一齐
壮观得有如悬崖的婚礼
也许生于世上无重要作为
仍有这种真爱会留低
@PKUCC
Bigscience (🔞🧜♀️|73天6时24分31秒后毕业) 在 ta 的帖子中提到:
由于防火墙的设定,我们所处的网络环境(北大教育网)是大内网,相当于温馨一个大家庭,家庭成员之间可以互相串门,相对直接暴露在公网上还是安全很多的。
然而,最近我身边有很多朋友反馈,自己机器的ssh一直处于被爆破的状态,由此可见,有不少家庭成员的机器沦为了黑客们的肉鸡。
为提高大家的安全意识,我开了本帖,用于曝光内网中高风险的ip,大家可以根据ip检查自己的机器是否被黑客拿下,也可以将这些高风险ip添加至防火墙黑名单以提升系统安全性。后续,我也会推出提高系统安全性的相关教程。
……
挺好的。
北大校园网环境(动态公网IP但有线网口很少更换,同时绑定硬件mac)很适合远程桌面和ssh直连,理工科有不少同学用着。不像teamviewer或者向日葵要绕路他们的服务器握手而且还有数量限制,免费版速度也有限。
如果是windows自带的Remote Desktop,开启之后不改变默认的3389端口的话,暴露在公网上,分分钟被扫描和尝试爆破。甚至简单的修改成(33890)都不行。linux的话,VNC不知道安全性怎么样。
我开始用RDP的时候改成了33890,自以为还很安全,直到有一次心血来潮看了下windows系统日志,发现一周内大概有几千条的login failure,分别来自河南、浙江和欧洲的ip,才意识到扫描端口的有多凶。后来选了个随机端口就清净了。
此外,pku.edu.cn的邮箱也是爆破登录重灾区,弱密码的话也会被爆破,然后就会被用来发邮件。不过学校的IT部门对pku邮箱的管理很不错,异地ip登录+发送垃圾邮件的话,几秒内就会冻结学号账户,直到登录改密码之后才能解冻。如果在its.pku.edu.cn中绑定了手机号的话,也会第一时间收到冻结短信通知(虽然中午学一吃饭的时候收这么一条很吓人就是了)。
实际上爆破密码然后明目张胆地发送垃圾邮件基本上是比较低端危害性也不算大的危害了。能被用户和网管觉察到的都容易阻止进一步损失。比较可怕的是爆破密码+登陆成功之后,在你的电脑里面种木马,盗取各种账号密码之类的敏感信息,或者是持续监视邮箱内容,盗取名义和信息。
更进一步地,以校内肉鸡为跳板,有可能访问到一些涉及到国家安全的信息,乃至引而不发作为长期后门,等待战争时期实施破坏,这是网络战的一部分。
—————————分割线—————————
windows下查看异常登录的方法:
- 开始菜单 - 搜索"事件查看器"(event viewer)
- 左侧列表选择“windows日志 - 安全”子项
- 右侧操作面板“筛选当前日志”
- 事件id填“4625” (即账户登录失败)
- 选择中央窗口列出的事件,下方“常规”标签页中向下滚动,至网络信息部分,检查源网络地址。如果不是自己远程登录常用的地址,或者ip是异地异国等,那就该检查一下windows是不是开放了RDP的3389端口了。
不过不是所有的账户登录失败时间都是网络攻击,有些杀毒软件要高权限的似乎也会触发。这类本地登录事件,其网络信息一栏应当全部是空白。不过如果触发登录失败的不是自己熟悉的安全软件的话,那也要注意一下是否用了不安全的盗版软件之类的。
pku邮箱的话,its或者mail.pku.edu.cn登录进去可以看近期登录时间和ip,如果出现异地登录且本人不在那边的,那就该改密码了,还得看看邮箱的已发送邮件里面有没有自己没发过的邮件。
linux的日志我不太熟,等大佬补充吧。
Bigscience (🔞🧜♀️|73天6时24分31秒后毕业) 在 ta 的帖子中提到:
由于防火墙的设定,我们所处的网络环境(北大教育网)是大内网,相当于温馨一个大家庭,家庭成员之间可以互相串门,相对直接暴露在公网上还是安全很多的。
然而,最近我身边有很多朋友反馈,自己机器的ssh一直处于被爆破的状态,由此可见,有不少家庭成员的机器沦为了黑客们的肉鸡。
为提高大家的安全意识,我开了本帖,用于曝光内网中高风险的ip,大家可以根据ip检查自己的机器是否被黑客拿下,也可以将这些高风险ip添加至防火墙黑名单以提升系统安全性。后续,我也会推出提高系统安全性的相关教程。
……
- windows登录失败事件.png(446.8KB)
哦?竟然有公网ip吗。一直以为没有,在校外都是挂vpn用远程桌面访问校内主机。
cloudpal (云的彼端) 在 ta 的帖子中提到:
挺好的。
北大校园网环境(动态公网IP但有线网口很少更换,同时绑定硬件mac)很适合远程桌面和ssh直连,理工科有不少同学用着。不像teamviewer或者向日葵要绕路他们的服务器握手而且还有数量限制,免费版速度也有限。
如果是windows自带的Remote Desktop,开启之后不改变默认的3389端口的话,暴露在公网上,分分钟被扫描和尝试爆破。甚至简单的修改成(33890)都不行。linux的话,VNC不知道安全性怎么样。
……
其实当事人也反馈过这个问题,本帖的目的不是向PKUCC反馈问题(当然,如果PKUCC看到了帮忙处理一下也是极好的),而是提高大家的安全意识。
就像是诈骗一样,光靠警察是抓不干净的,但是,如果每个人都有极强的反诈意识和反诈知识,骗子骗不到人了,那天下也就没有诈骗案了。
本帖更像一个案例通报,以及宣传网络安全小知识,提醒大家内网环境不是绝对的安全,要多关注自己主机的安全。
loasa (鲁鱼亥豕) 在 ta 的帖子中提到:
这个事不得 @PKUCC ?
签名档
But mitochondria is the powerhouse of the cell
其实当事人也反馈过这个问题,本帖的目的不是向PKUCC反馈问题(当然,如果PKUCC看到了帮忙处理一下也是极好的),而是提高大家的安全意识。
就像是诈骗一样,光靠警察是抓不干净的,但是,如果每个人都有极强的反诈意识和反诈知识,骗子骗不到人了,那天下也就没有诈骗案了。
本帖更像一个案例通报,以及宣传网络安全小知识,提醒大家内网环境不是绝对的安全,要多关注自己主机的安全。
azurite (石青) 在 ta 的帖子中提到:
@PKUCC
签名档
But mitochondria is the powerhouse of the cell
感谢分享,已高亮
cloudpal (云的彼端) 在 ta 的帖子中提到:
挺好的。
北大校园网环境(动态公网IP但有线网口很少更换,同时绑定硬件mac)很适合远程桌面和ssh直连,理工科有不少同学用着。不像teamviewer或者向日葵要绕路他们的服务器握手而且还有数量限制,免费版速度也有限。
如果是windows自带的Remote Desktop,开启之后不改变默认的3389端口的话,暴露在公网上,分分钟被扫描和尝试爆破。甚至简单的修改成(33890)都不行。linux的话,VNC不知道安全性怎么样。
……
签名档
But mitochondria is the powerhouse of the cell
谢谢对校园网络安全的关注,感谢提供的信息!
本周初我们监测到相关的攻击流量,找到了主控节点并进行样本提取,分析确认这是一个新的木马变种。通过技术手段我们掌握了较完整的中招受控主机,后续将会尽可能邮件或其他方式通知整改,对长时间仍未处置的主机,将会被限制连接校园网。也可自行进行排查,具体排查方式请参考: https://its.pku.edu.cn/announce/tz20240418202003.jsp。
欢迎有其他线索发邮件给its@pku.edu.cn或致电010-62751023进行反馈。
Bigscience (🔞🧜♀️|73天6时24分31秒后毕业) 在 ta 的帖子中提到:
由于防火墙的设定,我们所处的网络环境(北大教育网)是大内网,相当于温馨一个大家庭,家庭成员之间可以互相串门,相对直接暴露在公网上还是安全很多的。
然而,最近我身边有很多朋友反馈,自己机器的ssh一直处于被爆破的状态,由此可见,有不少家庭成员的机器沦为了黑客们的肉鸡。
为提高大家的安全意识,我开了本帖,用于曝光内网中高风险的ip,大家可以根据ip检查自己的机器是否被黑客拿下,也可以将这些高风险ip添加至防火墙黑名单以提升系统安全性。后续,我也会推出提高系统安全性的相关教程。
……