最近从 google 云迁移下来了,迁移到其他的小机房了。
因为一直是在 google 中采用证书登入很方便,在三方中默认采用密码登入。( PS: 主要是懒得配置 =。= )
突然发现(顺带 CPOY 了一把 iptables,设置登入间隔)
因为是配置极低的小型机,没有采用 ssh 证书模式登入
大部分 IP 只是试探性的跑一下密码,而且这边设置超过多少次就歇歇,大部分都没有这么执着
只有 218.92.0.0/24 这个网段的计算机这么耿直 。。。 就这么耿直 =。=
1
heijiaotuan 2019-09-03 10:07:10 +08:00
都是肉鸡
|
2
nnnToTnnn OP @heijiaotuan 好吧,我说怎么这么耿直 (。・ω・)ノ
|
3
shiji 2019-09-03 10:15:18 +08:00 via iPhone
努力刻苦,坚持不懈,有枣没枣打三杆子 是人民难能可贵的精神
|
4
flynaj 2019-09-03 10:27:44 +08:00 via Android
改一下默认端口,不要用 22,自动化的扫描就不会尝试了
|
6
qping 2019-09-03 10:35:11 +08:00
密钥登陆配置其实很方便,只要一行命令。
``` ssh-copy-id <username>@<host> ``` |
7
flynaj 2019-09-03 10:39:52 +08:00 via Android
@nnnToTnnn 如果是人工扫描当然没有用,我 10 多年都是这样搞得,看看改端口前后的日志你就明白了。
|
8
nnnToTnnn OP @flynaj 自动扫描的错误超过阀值了,直接 ban 掉他的 ip 地址就好了,如果换端口,这个显然解决不了问题
cron + shell 脚本 就可以实现,如果是改端口,这个显然就是只是绕过这个特征的机器人。(。・ω・)ノ |
11
zylyye 2019-09-03 11:24:28 +08:00
更换默认端口的确有效,我每次都改默认端口,登录日志少很多,基本没有
|
12
NSAgold 2019-09-03 11:28:59 +08:00 via Android
把 ssh 端口改成 3389 试试
登录日志会少很多 一般没多少人能想到 ssh 端口号在 rdp 默认端口号上的 |
13
nnnToTnnn OP @msg7086
将登入错误以频率设置阀值,如果某个 IP 的登入频率比较高,可以通过防火墙设置黑名单(具体到端口 cron + shell ), 换端口,从系统安全的角度上来说,并没有实质的去解决这个问题 |
14
amaranthf 2019-09-03 12:08:02 +08:00
@nnnToTnnn 安全呢,就是为了防贼,你说,你是把家的地址直接报出来让贼试锁更安全,还是把地址隐藏在六万多个随机的门牌号上,让贼先找到门牌号再来试锁更安全?
|
15
ysc3839 2019-09-03 12:12:45 +08:00 via Android
@nnnToTnnn 那 22 端口放个假的 SSH 服务,对方发现 22 端口开着还是 SSH 那就不会尝试真的了。
|
16
ooxxcc 2019-09-03 12:15:42 +08:00 1
|
17
winterbells 2019-09-03 12:16:55 +08:00 via Android
@amaranthf 这贼一秒跑 100 个地址,发现没有门就走了
|
18
explore365 2019-09-03 12:17:08 +08:00
22 端口开个蜜罐,哈哈哈哈哈
|
19
shansing 2019-09-03 12:17:45 +08:00
更换 SSH 端口在 99% 的情况下都是有效的。机器人扫描几乎都是针对 22 端口。当然你可以说这没有“实质”解决问题,但这只是对你机器针对性攻击来说的。花点小时间换个端口能应付“广撒网”的爆破,减少屏蔽 IP 的时间空间资源,何乐而不为呢?
|
20
mansurx 2019-09-03 12:33:28 +08:00
当前 IP 218.92.0.180
地理位置 中国江苏连云港 运营商 电信 时区 Asia/Shanghai UTC+8 地区中心经纬度 34.592098, 119.364998 IDC 该 IP 段为 IDC 机房使用,可能包括部分骨干网数据。 数据 网络安全风控基础数据 威胁情报 恶意攻击:2019-09-03 |
22
ys0290 2019-09-03 14:47:52 +08:00 via iPhone
假设一个 excel 每一行一个 ip,每一列一个端口,你看扫描是扫 22 端口列有效率还是所有列都扫有效率。当然瞅准你的 ip 全端口扫描属于和你有仇的
|
24
ShangAliyun 2019-09-03 15:03:52 +08:00
公网环境就是这么恶劣
你要是用弱密码,甚至会意外收获一些东西。 我测试过一台机器,就白捡了一哥黑客留下的 3389 爆破工具软件,还带了密码字典配置 |
25
akira 2019-09-04 02:21:08 +08:00
任何 linux 服务器拿到手,第一步就是改端口。
|