如何看待黑客 root 登录污染 sshd 日志的情况?

132 天前
 tool2dx

每开一台新 VPS ,只要不更换 ssh 默认端口,必然会有一大堆的恶意尝试登录请求。

我以前都不去管的,后来发现/var/log/btmp 这个记录登录失败的文件,总是膨胀特别快。

无奈加了 fail2ban ,但其实指标不治本,这个软件只能阻止历史 IP ,每天还是有一大堆新 IP 来污染日志。

同在互联网,大家就不能友善一点吗?盲猜 SSH 密码,纯属瞎猫抓死耗子,吃力不讨好。

4533 次点击
所在节点    程序员
46 条回复
churchmice
132 天前
你这个想法就不对了
现在的互联网哪还有友善直说,现在无非都是流量黑产作祟,你见过还有几个真真切切的是无私分享的
端口扫描本来就无法阻止
tool2dx
132 天前
@churchmice 扫描 ssh 性价比很低的,我是好奇明明看不见希望,为什么还要坚持。

哪怕是扫 web 端口,漏洞都还多那么一点点。
retanoj
132 天前
@tool2dx 对你而言,他们无希望
对他们而言,广撒网
BadFox
132 天前
端口扫描从来都是难以遏制的,互联网上一大堆自动化扫描+漏洞利用脚本,跟他们讲友善与否纯粹是对牛弹琴....最近还有 ssh 的条件竞争漏洞,搞得自动化脚本更凶残了。

顺便你提到了性价比,我觉得你对于性价比的理解有点问题,对他们来说无非是搭个服务器,可能配点地址池对整个公网批量尝试弱口令,这个脚本很难写吗?这成本很高吗?而如果成功爆破到那获取到的是什么呢?一个肉鸡服务器,配置不说,起码有个新的公网 IP 。这实际上是一个性价比很高的行为。
Steaven
132 天前
免费的肉鸡,免费的矿机,对他们来说香得狠,无非就是暴力猜密码
w568w
132 天前
> 每开一台新 VPS

国内 VPS 的常用 IP 段早就加入恶意攻击的目标 IP 库了,怎么换 IP 作用都不大。

> 只要不更换 ssh 默认端口,必然会有一大堆的恶意尝试登录请求

你已经知道解决方案了。

> 同在互联网,大家就不能友善一点吗

从另一个角度来说,每天有人免费帮你做渗透测试,不开心?
zw1027
132 天前
白名单永远是最好的做法
ruidoBlanco
132 天前
以前换端口,现在从来不换。

禁止密码登录,只允许 ssh 组用户登录,把自己加入 ssh 组,完事。
dbak
132 天前
防火墙加个白名单不就行了 反正经常登录的地点也就是公司和家里
liubaicai
132 天前
装个蜜罐
Meteora626
132 天前
你去 502 论坛看看就知道了,那些做灰产的 手头几千几万台机器 都不是啥很高深的黑客就是纯扫,想变现还怕违大法
besto
132 天前
@w568w 换口也没有用的,过几天还是会被扫。这个问题本来就无解,最好就是云支持从外部关闭 SSH 的端口(用的时候再打开)
Goooooos
132 天前
换端口也被扫,我的 LA 的 VPS 换了高位端口也天天被扫
adoal
132 天前
因为,不会搞 public key 或者不愿搞的用户很多很多……
adoal
132 天前
@adoal 想想看甚至有很多人会把 MySQL 甚至 Redis 、MongoDB 、ES 的服务直接暴露在公网上并且没做网络限制和认证限制
tool2dx
132 天前
@Goooooos 换端口会好那么一点。我测试下来 1:5 的概率。

我一般会用 fail2ban 阻止访问频率过高的 IP ,而扫高位端口的那些 IP ,刚好符合这个特性。
Metre
132 天前
个人用户的话,我是这么解决的
1. ipset 把自己所在的省份 IP 加入白名单,其他黑名单. 扫描数可以降至个位数.
2. 关闭外网 ssh 端口开放,安装 xray,sing-box 等.在客户端本地端口转发登录 ssh.
wowawesome
132 天前
黑客个屁,脚本小子罢了
Kinnice
132 天前
Port knocking
hi2hi
132 天前
人善被人骑

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1055533

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX