簡単なパスワードでRDPを空けておいたら、数時間でハッキングされマイニングツールを仕込まれた話【イニシャルB】

[nil0303]

リモートで調査したいからサーバー機のポート開けろって、メーカーも結構怖いこと言ってくるのな。

[hdampty7]

皆分かってると思うけど一応。ポートを変更したりパスワードを複雑にすればよいという話ではなくて、RDPを外部に開放させたことが問題だと思う。

[sekaiiti]

パスワード、ポート云々とかよりも、Source IPで絞ろうね。

[tohokuaiki]

いい調査。しかし、ブコメで「RDPなんか開けとくから」みたいな脊髄反射的な「XXX＝危険」っていう考え方自体がセキュリティリスクだと何度言われればわかるんかね。そういう人に限ってTeamviewer最高とか言ってそう。

[maruhoi1]

なぜか攻撃者ではなく被害者が叩かれるというね。実体として見えてる方が悪者として叩きやすいんですかね。

[fumisan]

面倒臭いvsセキュリティの典型例ですね

[circled]

RDPを外部にさらすとか、、、みたいなのは当然あるが、RDPで調べるというサポート側もどうよ？ってのが一つ。VPN経由みたいな方法もあるけど、VPNもIDとパスワードだけだと簡単なパスワード使った際のリスク変わらず。

[tohima]

バレないようにやるとかの気がまったくなくて笑った。「筆者が犯人だと疑われた場合の証拠として、保存しておく必要がありそうだ。」これ大事だよなあ

[kouhii]

"「sethc.exe」は、Shiftキーが5回連続で押されたときに起動する「固定キー機能」だ" "Windowsのログオン画面やロック画面でも起動できる" "「sethc.exe」の代わりに「RE[B]Ell.exe」が実行されるようになる"　こわい

[theta]

あるある。昔、Wimdows 2000 をLANにっなぎっぱなしのPCにインストールしてたら、インストール中に侵入されたの思い出した。FTPサーバ立ち上げたら、Adminへのログイン試行が山のように押し寄せる。世の中、そんなもんです。

[roppara]

ｺﾜｲｺﾜｲ (；´Д｀)

[nilab]

「やってしまった……。外部からリモートデスクトップ接続可能な状態にしたWindows Serverが、わずか6時間で乗っ取られ、マイニングマシンに仕立て上げられる結果に」

[lowpowerschottky]

“「パスワードはどんなときでも複雑にする」” 長さも大事

[zakusun]

ハニーポット作ってみる？

[qtamaki]

外向きのパスワードは辞書攻撃や総当たり攻撃に強い物を選べ

[adsty]

専門知識がありながら一時の不注意でやられている。

[nezuku]

サポート対応のためといえ、RDP直結の穴あけを要請したレビュー機器のベンダもどうなんだろう感。

[causeless]

"@ichinose_iroha この人以前もNASをグローバルに晒してたし、同じ様な事もっと有りそう / “簡単なパスワードでRDPを空けておいたら、数時間でハッキングされマイニングツ…" via https://twitter.com/ichinose_iroha/status/1168510538537558017

[zetamatta]

曰く「今後は永久に、外部からの攻撃を受け続けることになる。いい勉強になったが、失ったものは大きく、もう元には戻せない」ならばせめて、これをネタにして原稿料で元をとろう！ですね、わかります。

[b-wind]

この人以前もNASをグローバルに晒してたし、同じ様な事もっと有りそう

[palm84]

sethc.exe はアレをアレするアレですｗ

[airj12]

「もう、筆者宅の固定IPは、攻撃者御用達のターゲットリストに掲載されているのだろう。そして、そのリストから削除されることは、おそらく、もうない。」キツい

[chamudo]

あららら！

[felick]

脆弱性の塊のRDP公開するのはダメ。外からアクセスするときはSSHとかVPN噛ませようね

[ys0000]

RDP直接開けるのは昔したことあったなぁ。今はVPN張ってから繋ぐからまずやらん。そもそも、外部に教えるとしても簡単なパスワードにして外接NWには繋ぎたくないなぁ。ディクショナリーアタックは凌げるものにしたい。

[yuno001]

team viewer最高！！！

[dpprkng]

ルーターからNASとかにシステムログなど転送していなかったのかしら。

[wazpk6no]

shiftキー5回打鍵ク・ラ・ッ・キ・ン・グのサイン

[b_wa]

対策が違うと思う。特定のIP(今回ならメーカーのIP)のみにポートを公開するべきなのでは？

[mugicha1000]

バレるまでマイニングできりゃ良いやっていう投げやり感

[FEMRIK]

貴重な実被害調査録で面白かった。侵入手法調査をもっと詳しくやって欲しかった。「簡単なパスワード」と言ってるから単純な総当たりか辞書だったのかな？ rdpに試行回数制限て無かったっけ？

[hogeaegxa]

今回のうんこパスワードってやっぱadmin？

[aoki789]

ここまで調査できる人が、特定のGlobal IP以外はRDPできないようにする設定をすべきだということを知らないわけがない。やらせ？

[korin]

RDPを外部に「アクセス元IP制限もなく」公開したことが問題。ポート番号を変更すると、アクセスされる頻度は下がるけれど… /追記 脆弱性 CVE-2019-0708/1181/1182 とかもあるので、パスワードの複雑性では救えない例もあるかも

[daishi_n]

AWSでRDPなら、アクセス元IPアドレス制限するか、インターネットVPNかDirect Connectだよね。後者二つはインターネットからのアクセスも不要だし

[UhoNiceGuy]

普段、セキュリティに啓蒙とか、言ってるんだろうけど、簡単なパスワードでインターネットに繋げるなんて。

[John_Kawanishi]

｢今回の㌜はCrackingの手口が極めて｢雑｣で痕跡が残りまくっている上に攻撃もピン㌽だった｣｢所有者に気が付かれるまでの間、計算にCPUpowerを得られればいいという考えだったと推測できる｣

[haruka_nyaa]

やっぱりこういうことあるんだね。基本中の基本だ。/昔FTPサーバのテスト用にtest:test垢で放置していたらハリーポッター絡みのものが知らないところからどんどんアップロードされていたなんてこともあったな，と。

[nmcli]

他のブコメにもあるように、信頼したIPだけ開くのが鉄則だなと思う。RDPのポート変更はレジストリとファイアウォールをいじる必要があり初心者におすすめしにくい。

[namisk]

デフォルト・ポートは vulnerable ports とも呼ぶくらいだしね…。