【已解决】系统有两万八个连接 至45.135.232.*

前几天下载了人人影视,之后就觉得电脑有点不对劲(当然,也可能是别的APP吧),风扇动不动就开始运行,即使我啥都没做…

今天又这样,我偶然打开了360的流量监控,看到有28000+个connections到一个俄罗斯的IP。。。请问大神们这是啥情况?

*后面的那个"已…“是"已关闭”;这都没有列完…录了20秒了还在load。
**可以把声音关一下,不好意思没想到会录麦克风hhh


update:
**结论:应该是有人正在暴力攻击我电脑Windows 账户的密码,准备远程控制(Remote Desktop)我的电脑吧。**详细↓

1赞

人人影视默认是会上传你下载的资料的,上传你关闭了吗?

另外我记得他们以前出过挖矿的模块,然后你可以用来换积分什么的(好像是明确告知你的)?不知道这东西还在不在。好久没用了,我现在都是多瑙上面在线看了

关了,下载的文件我都会挪走的…而且我在想他们上传也不至于藏在svchost进程里吧…
这么多到俄国本地端口还是3389(Windows 远程桌面默认端口)我就很慌

确实很可疑,看看别的大神有没有解释了。。。
如果我本人的话可能会先卸载人人影视看看,再不行就用系统还原restore到安装前

嗯嗯 我估计没有restore point。。下次真的到记得设置了。谢谢你

本地端口3389不是被远控了吗…也有可能是扫密码之类的,可以把远程桌面关了

看起来很像是挖矿程序

可以用 netstat -ao / 性能监视器 看看到底是啥进程,如果真的显示是 System 的话是驱动访问网络欸

你的电脑八成变身肉鸡了。

挖矿肉鸡吗…太惨了 我已经重装过一次了 好烦啊

我刚刚重启了一下,系统立马又开始有一千个链接到俄罗斯、荷兰等地方,还是那个ip

说一下来龙去脉:

前几天登陆到TP-LINK路由器自带的VPN,然后突然发现在connection里面有一个来自俄罗斯的IP(只记得当时查了IP Geo location,忘记具体是什么,不过记得是4开头),通过PPTP连接,而我自己一直用的是路由器自带的OPEN VPN,从来没有用过PPTP。(总共就俩Open VPN/PPTP)
很好奇为什么会有人莫名登陆到我的路由器。于是我看了一眼PPTP的用户名/密码:admin/admin。我…怪不得,这么脑残的默认密码可不是嘛。于是我把密码改了,然后断开了那个连接我VPN的俄国的IP。
以上是背景,不知道是否有关联
.
.
这次,我发现了原因:
因为我电脑运行了一堆安卓模拟器,我怕是模拟器里的APP连接的,所以我关闭了所有模拟器,然后重启了一下电脑。发现电脑刚刚开机就有了400个连接,300个本地端口3389到俄罗斯、荷兰、莫斯科等地。
.
.
我想,要不就在路由器直接ban掉这些IP吧,就不让连接了。于是我登录路由器去找在哪里可以把IP地址拉黑名单。找着找着突然看到了端口转发…路由器里唯一一个端口转发就是RDP的3389,如图:


:astonished: :face_with_monocle: :thinking:
.
.
我把端口转发关闭了,重启。果然,现在只有100个连接,其中TCP和UDP的3389是处于监听状态,并没有连接任何的外部IP。为了保证实验结果,我等了一会,还是没有任何连接。

.
.
为了证实是否是这个原因,我去路由器把端口转发一打开,刷新360的流量监控,一下子多了50个到俄罗斯的IP,本地端口3389…


打开之后立马就一堆连接开始了…这…我…这是怎么找到我的啊,plus这么多连接我的电脑是要做什么?暴力破解我的登陆密码吗?我记得我的电脑账户自上次重装以来貌似还是用的本地密码,并没有绑定微软账号。

我服了。要不是细心,真的细思极恐。我的Chrome记住了一堆的密码,包括各种银行。加上Cookies、Cache、IP地址不变,那被破解之后岂不是真的凉凉了?

别开转发3389端口

3389是远程桌面,大概率是爆破你密码或者已经被入侵了

我是Windows 10 Pro带的远程,有的时候在学校会用到,疫情就没有在用了。那请问我这个端口转发设置的外部端口改成别的是不是会好一点?

是的…

1赞

okok 谢谢!

也谢谢大家的帮助啦!


这个人是跟我杠上了吗????

你转发成别的端口了吗
可以直接把本机的RDP端口也改掉
也有可能是反射连接

@FBI 调查一下

我根本没开端口转发
我把Remote Desktop service关了:neutral_face:


昨天晚上从梦中惊醒,赶快去看看RDP服务关了没:joy:我服了