방금 실시간으로 해킹 시도 당한 경험이다.
친구랑 서버 만들어서 네트웍 게임하는데, 평소완달리 버벅거리길레, 뭐지 싶어서, 다 끄고 네트웍 모니터링 해보니까,
218.202.133.165 이란 아이피에서 tcp 연결이 svchost 로 70여개가 떠있음.
시발 뭐지 싶은데, winlogon.exe 이미지도 70개 떠있어서, 아 이건 RDP(원격 데스크탑, 인터넷 통해서 켜져있는 내 컴퓨터 아이디 비번치고 들어가면 집에서 쓰는 것 처럼 쓸 수 있음) 다. 감지하고, 방화벽에서 RDP 끄니까 바로 다 줄음. ㄷㄷㄷ
프로그램 돌려서 비번 맞추려고 로그인을 무한정 시도중이었다는 얘기임.
아이피 218.202.133.165 검색해 보니까, https://db-ip.com/all/218.202.133 china mobile 이고 (ㄷㄷㄷㄷㄷ)
https://twitter.com/atma_es/status/756127668718956544 이 아이피로부터 RDP 공격 있다는 트위터도 있음 (ㅎㄷㄷㄷㄷ)
이미 다른 서버도 이녀석이 공격했는지 최다 트래픽 유발자 7위로 이 사이트에 올라 있음 http://fgucc06.fgu.edu.tw/fortinetreport/fgureports-2016-08-01-1150.html
포트 포워딩하면 데이터 느려져서 DMZ 쓰고 컴 2주일째 켜놨더니 이런 일이 생기네. 평소 웹서핑이랑 동영상 시청 같은건 전혀 안느려져서 낌새도 못챘다. 게임 안해봤으면 비번 털려서 컴터 다 털릴뻔 ㄷㄷㄷ.
이게 몇일 전부터 내 계정 비번을 맞추려고 했는지도 알 수 없는 상황.
이런 임의로 열려있는 IP 검색해서 해킹 시도하는 프로그램 돌리는 놈들에게 접촉당한건 처음이라 너네들도 조심하라고 적어본다.
난 윈도우랑 공유기 방화벽에서 218.202.133 아이피 대역 다 차단함.
참고로 tracert 추적 내역.
9 18 ms 11 ms 14 ms 1.208.150.113
10 52 ms 54 ms 73 ms TenGE4-1.br01.hkg15.pccwbtn.net [63.218.60.230]
11 55 ms 64 ms 48 ms 63-218-211-30.static.pccwglobal.net [63.218.211.30]
12 55 ms 56 ms 64 ms 211.136.1.106
13 103 ms 55 ms 56 ms 221.176.24.61
14 68 ms 63 ms 71 ms 221.176.22.109
15 88 ms 102 ms * 221.176.21.181
16 * 126 ms 158 ms 221.176.15.97
17 * 122 ms * 221.183.13.106
18 103 ms 111 ms 102 ms 120.193.133.30
19 114 ms 111 ms 107 ms 120.193.133.42
20 * * * 요청 시간이 만료되었습니다.
21 116 ms 118 ms 112 ms 218.202.133.165
추적을 완료했습니다.
3줄 요약 :
1. 프로세스 리스트에 winlogon.exe 존나 떠있으면
2. RDP brute-force 공격이다.
3. 방화벽에서 막아라.
추가 :
몇일 지난 지금(13일)
183.102.180.246 이놈도 들어오려고 했다.
이건 한국 IP 인데..
http://dnsbl.inps.de/query.cgi?action=last_mail&ip=183.102.180.246&lang=en
[ 네트워크 할당 정보 ] IPv4주소 : 183.102.180.0 - 183.102.180.255 (/24) 기관명 : (주) 케이티 네트워크 구분 : CUSTOMER 주소 : 인천광역시 연수구 송도동 우편번호 : 406-840 할당내역 등록일 : 20150317 이름 : IP주소 담당자 전화번호 : +82-2-500-6630 전자우편 : [email protected]
송도놈인데 ㅅㅂ 너도 차단!
박음직스럽다
눈이이쁜사슴
눈이이쁜사슴
박음직스럽다
박음직스럽다
박음직스럽다
눈이이쁜사슴
어떤 외쿡놈은 vpn 쓰라 그러던데, 난 폰에 비번 잠그는거 싫어서 vpn 쓰기도 별루라. 털리면 운명이다 생각할 요량 ㅋㅋ
블루투스 너마저
그니까 일반적으로 공유기쓰고하는사람들는 별 문제없는거지?
눈이이쁜사슴
블루투스 너마저
눈이이쁜사슴
디지털깔깔이
잉텔
암호좀 복잡하게 해야할필요가 있네..;;;
FTP는 수시로 쳐들어 오는듯... 그래서 중국발 IP는 다 막음 ㅇㅇ
눈이이쁜사슴
맘같아서는 공유기에서 중국 아이피 확 다 막고 싶지만 토렌트 쓸라니깡.. 소심하게 윈도 방화벽으로... 막아야 할듯.
잉텔
쇼온
이것도버프해보시지
눈이이쁜사슴
Googole
눈이이쁜사슴
미니언아이시테루조
헛소리만주절주절
짱깨가 들어올려고 함
미니언아이시테루조
눈이이쁜사슴
번호키 현관문을 달았는데, 나갔다 와보니 몇일전부터 짱깨가 비번 맞추려고 존나 눌러보고 있었다.