爆破攻击防护拦截正常RDP登录

一颗星球 · 发表于 2025-6-20 17:07:11

以前RDP正常登录，今天突然登录不了，内网看拦截了192.168.2.5的RDP登录（如图），此IP是ROUTER OS 路由，设置了端口转发至外网，转发RDP的服务端。
RDP的客户端以前一直是正常登录，客户端电脑和火绒的设置我没有更改，从日志上看，记录的都是我登录的时间，没有其他的登录。
请问这是什么原因？是否需要另外的设置？

火绒运营专员 · 发表于 2025-6-20 17:10:13

您好，是否是在更新6.0后出现的问题呢？麻烦您把火绒日志导出这边确认下哈~

一颗星球 · 发表于 2025-6-21 00:00:47

【1】2025-06-20 15:12:17,网络防护,暴破攻击防护,受到192.168.2.5的网络攻击，已阻止

协议：RDP
防御结果：已阻止，阻止192.168.2.5访问60分钟
本地地址：192.168.2.10:3389
远程地址：192.168.2.5:60505
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2025-06-20 10:02:56,其他,升级日志,自动更新成功，版本号：6.0.6.3

升级方式：自动更新
升级结果：成功，版本号：6.0.6.3，病毒库时间：2025-06-19 20:36
下载文件：
2025-06-20 10:02:55 C:\Program Files (x86)\Huorong\Sysdiag\bin\libvxf.vdl
2025-06-20 10:02:55 C:\Program Files (x86)\Huorong\Sysdiag\bin\libvxf.dat
2025-06-20 10:02:56 C:\Program Files (x86)\Huorong\Sysdiag\bin\libvxf.tdl
2025-06-20 10:02:56 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2025-06-20 10:02:56 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2025-06-20 10:02:56 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-06-20 10:02:56 C:\ProgramData\Huorong\Sysdiag\db\hips.db
2025-06-20 10:02:56 C:\ProgramData\Huorong\Sysdiag\db\behav.db
2025-06-20 10:02:56 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
2025-06-20 10:02:56 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db
2025-06-20 10:02:56 C:\ProgramData\Huorong\Sysdiag\db\popblk.db

更新文件：
2025-06-20 10:02:56 C:\Program Files (x86)\Huorong\Sysdiag\bin\libvxf.vdl
2025-06-20 10:02:56 C:\Program Files (x86)\Huorong\Sysdiag\bin\libvxf.dat
2025-06-20 10:02:56 C:\Program Files (x86)\Huorong\Sysdiag\bin\libvxf.tdl
2025-06-20 10:02:56 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2025-06-20 10:02:56 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2025-06-20 10:02:56 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-06-20 10:02:56 C:\ProgramData\Huorong\Sysdiag\db\hips.db
2025-06-20 10:02:56 C:\ProgramData\Huorong\Sysdiag\db\behav.db
2025-06-20 10:02:56 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
2025-06-20 10:02:56 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db
2025-06-20 10:02:56 C:\ProgramData\Huorong\Sysdiag\db\popblk.db

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2025-06-20 09:28:52,网络防护,暴破攻击防护,受到192.168.2.5的网络攻击，已阻止

协议：RDP
防御结果：已阻止，阻止192.168.2.5访问60分钟
本地地址：192.168.2.10:3389
远程地址：192.168.2.5:52359
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2025-06-20 08:28:21,网络防护,暴破攻击防护,受到192.168.2.5的网络攻击，已阻止

协议：RDP
防御结果：已阻止，阻止192.168.2.5访问60分钟
本地地址：192.168.2.10:3389
远程地址：192.168.2.5:55096
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2025-06-18 22:05:38,其他,升级日志,自动更新成功，版本号：6.0.6.3

升级方式：自动更新
升级结果：成功，版本号：6.0.6.3，病毒库时间：2025-06-18 18:42
下载文件：
2025-06-18 22:05:38 C:\Program Files (x86)\Huorong\Sysdiag\bin\libvxf.tdl
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\db\hips.db
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\db\behav.db
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\db\popblk.db

更新文件：
2025-06-18 22:05:38 C:\Program Files (x86)\Huorong\Sysdiag\bin\libvxf.tdl
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\db\hips.db
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\db\behav.db
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db
2025-06-18 22:05:38 C:\ProgramData\Huorong\Sysdiag\db\popblk.db

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2025-06-18 00:05:39,其他,升级日志,自动更新成功，版本号：6.0.6.3

升级方式：自动更新
升级结果：成功，版本号：6.0.6.3，病毒库时间：2025-06-17 20:34
下载文件：
2025-06-18 00:05:39 C:\Program Files (x86)\Huorong\Sysdiag\bin\libvxf.dat
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\db\hips.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\db\behav.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\db\appprot.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\db\popblk.db

更新文件：
2025-06-18 00:05:39 C:\Program Files (x86)\Huorong\Sysdiag\bin\libvxf.dat
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\db\hips.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\db\behav.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\db\appprot.db
2025-06-18 00:05:39 C:\ProgramData\Huorong\Sysdiag\db\popblk.db

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2025-06-17 00:05:40,其他,升级日志,自动更新成功，版本号：6.0.6.3

升级方式：自动更新
升级结果：成功，版本号：6.0.6.3，病毒库时间：2025-06-16 19:26
下载文件：
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\db\hips.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\db\behav.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\db\appprot.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\db\popblk.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\db\leakrepair.db

更新文件：
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\db\hips.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\db\behav.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\db\appprot.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\db\popblk.db
2025-06-17 00:05:40 C:\ProgramData\Huorong\Sysdiag\db\leakrepair.db

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2025-06-16 10:05:40,其他,升级日志,自动更新成功，版本号：6.0.6.3

升级方式：自动更新
升级结果：成功，版本号：6.0.6.3，病毒库时间：2025-06-15 16:27
下载文件：
2025-06-16 10:05:40 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
2025-06-16 10:05:40 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-06-16 10:05:40 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db

更新文件：
2025-06-16 10:05:40 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
2025-06-16 10:05:40 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-06-16 10:05:40 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【9】2025-06-15 00:05:42,其他,升级日志,自动更新成功，版本号：6.0.6.3

升级方式：自动更新
升级结果：成功，版本号：6.0.6.3，病毒库时间：2025-06-14 20:55
下载文件：
2025-06-15 00:05:42 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
2025-06-15 00:05:42 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-06-15 00:05:42 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
2025-06-15 00:05:42 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db

更新文件：
2025-06-15 00:05:42 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
2025-06-15 00:05:42 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-06-15 00:05:42 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
2025-06-15 00:05:42 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【10】2025-06-14 12:05:43,其他,升级日志,自动更新成功，版本号：6.0.6.3

升级方式：自动更新
升级结果：成功，版本号：6.0.6.3，病毒库时间：2025-06-13 20:36
下载文件：
2025-06-14 12:05:42 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
2025-06-14 12:05:42 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2025-06-14 12:05:42 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2025-06-14 12:05:42 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-06-14 12:05:42 C:\ProgramData\Huorong\Sysdiag\db\hips.db
2025-06-14 12:05:43 C:\ProgramData\Huorong\Sysdiag\db\behav.db
2025-06-14 12:05:43 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
2025-06-14 12:05:43 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db

更新文件：
2025-06-14 12:05:43 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
2025-06-14 12:05:43 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
2025-06-14 12:05:43 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
2025-06-14 12:05:43 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
2025-06-14 12:05:43 C:\ProgramData\Huorong\Sysdiag\db\hips.db
2025-06-14 12:05:43 C:\ProgramData\Huorong\Sysdiag\db\behav.db
2025-06-14 12:05:43 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
2025-06-14 12:05:43 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

火绒运营专员 · 发表于 2025-6-21 10:07:51

一颗星球发表于 2025-6-21 00:00
【1】2025-06-20 15:12:17,网络防护,暴破攻击防护,受到192.168.2.5的网络攻击，已阻止

协议：RDP

好的，这里的出现远程地址【192.168.2.5】是否是您内网的IP呢？

一颗星球 · 发表于 2025-6-23 22:20:19

火绒运营专员发表于 2025-6-21 10:07
好的，这里的出现远程地址【192.168.2.5】是否是您内网的IP呢？

对，是路由IP, ROUTER OS. 从外网访问的，路由转发的，之前没有拦截。

火绒运营专员 · 发表于 2025-6-24 08:47:32

一颗星球发表于 2025-6-23 22:20
对，是路由IP, ROUTER OS. 从外网访问的，路由转发的，之前没有拦截。

您这边路由IP访问时是首次访问吗？

一颗星球 · 发表于 2025-6-24 15:48:23

火绒运营专员发表于 2025-6-24 08:47
您这边路由IP访问时是首次访问吗？

不是啊，设置什么的什么都没动，以前一直正常，就那天被拦截了，以后一直把IP加白名单了。但是这样，真有爆破就拦截不了了。

一颗星球 · 发表于 2025-6-24 15:51:47

火绒运营专员发表于 2025-6-24 08:47
您这边路由IP访问时是首次访问吗？

你这日志粘贴后的两个问题，都是我在主题内容中描述过的，你这懂网络吗？

火绒运营专员 · 发表于 2025-6-24 16:12:43

一颗星球发表于 2025-6-24 15:51
你这日志粘贴后的两个问题，都是我在主题内容中描述过的，你这懂网络吗？ ...

您好，暴破攻击防护仅按照访问频次判断是否存在风险，不会校验登录时使用的信息，当达到一定阈值时火绒会自动阻止该访问；您在远程和本机上使用火绒全盘查杀如果未检出风险，可以考虑将该ip添加至白名单处理哈~

一颗星球 · 发表于 2025-6-25 11:32:56

火绒运营专员发表于 2025-6-24 16:12
您好，暴破攻击防护仅按照访问频次判断是否存在风险，不会校验登录时使用的信息，当达到一定阈值时火绒会 ...

问题是阻止的时候，就是我在登录时。如果有其他人登录，也没见有阻止的日志啊。
另外，IP添加白名单，当然能访问了，这是路由过来的，添加到白名单等于这个网络防护等于没用。

火绒运营专员 · 发表于 2025-6-25 11:39:00

一颗星球发表于 2025-6-25 11:32
问题是阻止的时候，就是我在登录时。如果有其他人登录，也没见有阻止的日志啊。
另外，IP添加白名单，当然 ...

好的，如果有出现其他登录行为火绒未提示的情况，麻烦您在登录时使用附件工具抓包，配合抓包时的火绒日志这边看下，是否存在问题哈~

火绒运营专员 · 发表于 2025-6-27 14:28:50

一颗星球发表于 2025-6-25 11:32
问题是阻止的时候，就是我在登录时。如果有其他人登录，也没见有阻止的日志啊。
另外，IP添加白名单，当然 ...

您好，近期有尝试在出现问题时抓包看下吗？

火绒运营专员 · 发表于 6 天前

一颗星球发表于 2025-6-25 11:32
问题是阻止的时候，就是我在登录时。如果有其他人登录，也没见有阻止的日志啊。
另外，IP添加白名单，当然 ...

您好，近期有尝试在出现问题时抓包看下吗？

火绒运营专员 · 发表于 4 天前

一颗星球发表于 2025-6-25 11:32
问题是阻止的时候，就是我在登录时。如果有其他人登录，也没见有阻止的日志啊。
另外，IP添加白名单，当然 ...

您好，近期问题是否有出现？方便抓包这边看下吗？