由于疫情原因,需要远程在家学习。向日葵这种远程软件总是又延迟,卡卡的。于是爱折腾的我就想起了开源的内网穿透工具 frp
使用内网穿透工具需要一台速度不错的服务器,如果需要买一个云服务器,那我还不如直接开向日葵的会员呢。
但事情巧就巧在我家的网络恰巧又有公网 IP ,于是我就在我自己的电脑上部署了 frps 的服务。
在实验室的电脑里开始 frpc 的客户端,于是就可以通过 3389 端口远程桌面登录了。速度是真的很快。

在我以往的观念里一直都觉得黑客是不会攻击个人电脑的,因为没有勒索的价值。但这次黑客给我上了一课。

有一天我打开电脑,所有的文件都变成这样了。

我的桌面也

刚一看到这种情况,我整个人是蒙的,还以为是电脑出了什么 bug 。

为了弄清楚情况,我就百度搜了一下 “.Devos” 是什么文件。

出现了以下两篇文章。

https://zhuanlan.zhihu.com/p/361606330

https://www.grit.com.cn/Ransomware/devos

这个时候我终于知道,我的电脑中病毒了。让我疑惑的是,好端端的电脑怎么会中病毒呢?
回想以下最近我对这台电脑做了什么,一个是开启了 frpc 客户端,一个是挂载了 webdav 做网络硬盘。
由于事件就发生在我挂载网络硬盘的第二天,我就先去检查了一下另一个挂载了相同 webdav 的电脑,一切运行正常。

接下来开始排查是不是 frp 导致的电脑中毒呢?
先百度搜索一下。

搜到了下面这篇博客。

https://blog.csdn.net/ml344739968/article/details/104718259

这篇博客的最后也说了,frp 实际上是不背锅的,是我电脑的登录密码太简单了。

由于这篇博客的标题提到了是用 frp 导致的,我又去 frp 项目下看了一下 issue,就看到了这种发言。

因为我的电脑上是一个多用户的环境,我想尝试登录一下其他账户看一看。

这时我才突然发现,我有一个账户的登录密码竟然是 1234

到现在,我终于明白中毒的根本原因了。

我登录了这个账号,还看到了作案现场。

我看了一下程序的名字,去任务管理器里面把程序停止了。

接下来,看看控制台窗口具体显示的什么东西。

看到他在扫描 IP ,卧槽,我一下更慌了,我的电脑没什么价值,可是别连累局域网的大家啊。😰

赶紧跟两名同学确认了一下,他们的电脑还没事,暂时可以放心了。

事后又去查了一下其他的博客,看到很多和我一样中毒的人。

https://www.jianshu.com/p/d62034ad50ad

又看了看 360 的科普。

这个时候我才意识到,把内网服务暴漏在公网是多么的危险。
我想到我的作为服务器的笔记本也是暴漏在公网的,并且还开放了所有端口,一切都是向着最不安全的方向设置的。可能是使用甲骨文云留下来的习惯。

我还感觉我家的网络有点卡,不知道是巧了还是我慌了😂
吓得我赶紧拔掉服务器的网线,过了今晚,明早再说吧。

第二天打开服务器,感觉网络有问题,ping 一下 127.0.0.1 吧。
天哪,连这个都 ping 不通了,网上查了一下说是 TCP/IP 协议栈损坏了。

不是说 Linux 是很稳定的操作系统吗?好端端的怎么会内核出问题呢?难道真的被攻击了?我也不确定。

也没有查到修复的办法,我就干脆重装系统了,并且这次设置了最复杂的密码,不用的端口一个也不开,部署的网站都只允许使用 https。我有限的学识里能做的只有这些了。

ssh 我设置了一下密码登录,看了一下宝塔面板。大概也就半个小时,1000 多次失败的登录!

我又一次感受到了公网上有多危险。 😰

赶紧把 ssh 关了。

亲身经历了一次中招,以后就不敢大意了,重新部署服务器之前有在 B站看了几个服务器加固的视频。😂

总结一下,这次中毒的根本原因是我使用了 1234 这种弱密码。
希望大家引以为戒吧。

哎,家里有一个 1050 显卡,先搭个环境跑跑实验吧。