查看: 973|回复: 16

远程桌面守护者,保护服务器的3389端口

[复制链接]
发表于 2022-11-15 16:37 | 显示全部楼层 |阅读模式
非法程序、 2022-11-15 16:37 973 16 显示全部楼层
远程桌面守护者,3389马后炮,3389看门狗。

这个软件是用于防守远程桌面的,目的在于加强服务器安全,防止别有用心的人登录你的服务器3389。

防御原理:利用Windows系统日志产生的 登录成功4624事件 和 登录失败4625事件,并判断相关的IP、地理位置等来执行相关操作,简单说就是对方IP不是允许的范围,则拉黑它,因为正常用户不会去登陆你的3389(当然,对于正常服务器来说,这样可能会误伤这个IP下的所有用户,这个就需要自行斟酌了。)

为什么说是马后炮?因为日志的产生是在结果之后,也就是说,对方已经登录进来了,然后才产生的日志,并不能在对方登录之前拦截,因此是被动的防御。

其实这个想法很久之前就有了,Linux上有个fail2ban,但是Windows上我没有找到类似的,所以按照自己的想法做了这个。因为要放到服务器上用,所以开源了。其实按照这个思路自己做个也很容易。
其实当时做的时候,还有另一种思路,但是我实现不了,思想就是hook系统进程之类的,hook关键的对比call,拿到对方登录输入的账号密码等,此时判断对方IP,不合法则直接返回错误,这就相当于主动防御了,更加安全,但是成本太高,期待哪位大佬实现一下。

另外就是火绒的系统防御还是啥的,会有这种提示,某个“ip触犯远程WMI调用,已阻止”之类的,但是却没有后续操作,比如直接将IP拉黑等等。

做出来一年多了,断断续续改了好多地方,目前不光3389,别的形式的登录也会产生这俩事件,后来就加上了一并处理。

现在一天一个服务器可能就得面临十几次的非法访问,国外IP居多。

软件的功能及设置很简单,基本都有对应的说明,但是还是得强调,不要设置错了,不然可能你就无法登录服务器了!

建议改个迷惑性的名字然后塞到迷惑性的目录里,这样隐蔽性比较高。

另外,最好自己审核代码自己编译。源码中的DeLog_EC.ec也是开源的,但是代码貌似找不到了,只是用来输出日志的,可以自己删了。
游客,如果您要查看本帖隐藏内容请回复


QQ截图20221115163523_副本.jpg
发表于 2022-11-15 16:45 | 显示全部楼层
baoyue 2022-11-15 16:45 显示全部楼层
时光如飞刀,刀刀催人老
回复

使用道具 举报

发表于 2022-11-15 17:17 | 显示全部楼层
2570844408 2022-11-15 17:17 显示全部楼层
时光如飞刀,刀刀催人老
回复

使用道具 举报

发表于 2022-11-15 18:03 | 显示全部楼层
魔影网络 2022-11-15 18:03 显示全部楼层
感谢楼主,好人一生平安
回复

使用道具 举报

发表于 2022-11-15 18:07 | 显示全部楼层
非法他叠 2022-11-15 18:07 显示全部楼层
时光如飞刀,刀刀催人老
回复

使用道具 举报

发表于 2022-11-15 18:21 | 显示全部楼层
碎觉觉 2022-11-15 18:21 显示全部楼层
药不能停 / 加大药量
回复

使用道具 举报

发表于 2022-11-15 18:51 | 显示全部楼层
slimesong 2022-11-15 18:51 显示全部楼层
感谢楼主,好人一生平安

点评

楼主好人一生平安!好贴支持!  详情 回复 发表于 2022-11-15 19:39
回复

使用道具 举报

发表于 2022-11-15 19:14 | 显示全部楼层
cqxyz 2022-11-15 19:14 显示全部楼层
又见技术帖!
回复

使用道具 举报

发表于 2022-11-15 19:39 | 显示全部楼层
xilinx 2022-11-15 19:39 显示全部楼层
slimesong 发表于 2022-11-15 18:51
感谢楼主,好人一生平安

楼主好人一生平安!好贴支持!
回复

使用道具 举报

发表于 2022-11-15 22:13 | 显示全部楼层
suyuan 2022-11-15 22:13 显示全部楼层
好贴支持!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则 返回列表 发新帖

快速回复 返回顶部 返回列表