本程序使用nmap扫描3389_cidrs文件里面所列的CIDR地址（每行一个），生成3389_hosts文件，里面是可能的Windows开了3389远程桌面的机器IP地址，可以极大减少接下来的检测IP量。

python3、nmap

将CIDR写入3389_cidrs，运行./generate.py。生成的3389_hosts可用来联系管理员或者继续扫描操作。

deep_generate.py针对有些人更改了自己机器的3389端口到其他端口，使用nmap指纹扫描出ms-wbt-server再写入3389_hosts。由于每台机器需要扫描1-65535个端口，速度非常慢。

360于20190522释出CVE-2019-0708： Windows RDP远程漏洞无损检测工具下载，目前已经到第二版。只能针对单个IP检测。

https://github.com/biggerwing/CVE-2019-0708-poc写了个批量检测工具，在文本文件里面写一堆IP检测。为什么用Python而不用PowerShell或者BAT，咱也不知道咱也不敢问。

大连东软-孙福龙对其进行改进，可以只写CIDR地址段。

由于CIDR地址段较多，所以我写了小段代码，根据CIDR地址段，nmap扫描开放3389端口的机器IP列入检测。可以减少检测IP量。

建议在配合批量检查时从360官方源下载检测工具并替换以上GitHub文件名。

检测结果仅供参考。

关于CVE-2019-0708类似漏洞，平时只要做好以下2件事就很安全了。

• 本机打开防火墙，管理端3389和22只允许某些管理员IP或堡垒机登录即可。如果这么做了，即时不打补丁也是相对安全的。
• 系统自动安装更新打开，不使用已经EOL的服务器（可参考宋崟川@LinkedIn文档），比如Windows2k3。平时注意下网络是否正常，是否有自动打补丁即可。当然打安全补丁会有时间差，比如这次CVE-2019-0708这个，服务器是在第二天早上3点自动打，这个时候可以人工介入安装即可。
• 3389改端口这个不推荐，不标准也不安全。