吐槽一下全球全域端口扫描

2018-11-19 21:56:51 +08:00
 zhouyut001

ssh 和几个服务端口暴露到公网,天天都有全球的 IP 扫描,或者登陆 ssh 失败被 fail2ban 封禁 1 个月。有这么闲的嘛?我的端口全是 10000 起步的,这都能扫描到?干嘛呢

6300 次点击
所在节点    Linux
21 条回复
kslr
2018-11-19 23:02:45 +08:00
利益
flynaj
2018-11-19 23:22:33 +08:00
扫描程序不会累😩
fiht
2018-11-19 23:27:46 +08:00
不是能扫描到 10000+
而是 1 - 65525 扫 发送 HELLO 报文
然后根据返回的 banner 做匹配,识别运行的服务。 然后给 API 给黑客用。
所以不是每个黑客都是扫全网 1-65525 的
zoomeye、fofa、shodan 都是做这个的的
ywgx
2018-11-19 23:31:53 +08:00
zui   fan   gan
zhouyut001
2018-11-19 23:32:54 +08:00
@ywgx ?
zhouyut001
2018-11-19 23:33:01 +08:00
@fiht 了解了
t6attack
2018-11-19 23:38:02 +08:00
不是人为扫描,是蠕虫病毒的机动扫描。
蠕虫病毒的扩散速度和扫描量是以几何级别增长的。尤其“弱口令”蠕虫,无法有效限制其他病毒重复感染,导致一台肉鸡上往往跑着 N 个蠕虫日夜不停的扫描互联网。
t6attack
2018-11-19 23:54:57 +08:00
以针对 445 端口的扫描为例,ms08-067 这个漏洞爆出来以后,从互联网到局域网,针对 445 端口的扫描和攻击数据包满天飞。
那么这些巨量的扫描行为是怎么产生的?是全球各地黑客 昼夜不停开着扫描器产生的吗?
利用 ms08-067 传播的蠕虫,比较有代表性的:国外的 conficker 蠕虫,在全球感染了约 1000 万台主机。国内的 扫荡波 蠕虫,感染了约 70 万台主机。
每一台被感染的僵尸主机,都会成为新的攻击源,昼夜不停的扫描互联网,继续传播自身。由此产生了巨量的扫描请求。与此相比,黑客手动扫描所占比例,几乎可以忽略不计。
masker
2018-11-19 23:55:38 +08:00
我觉得这不算啥。之前在一个不知名 vps 代理商那里买 vps,买了没有立马改密码,第二天登不上了。
zhouyut001
2018-11-19 23:58:42 +08:00
@t6attack 🐮🍺
zhouyut001
2018-11-19 23:58:50 +08:00
@masker 还有这种操作
C2G
2018-11-20 01:08:39 +08:00
@zhouyut001 之前有台 vps 重装系统密码忘改了,然后第二天发现 vps 流量跑了 33T
crab
2018-11-20 01:20:41 +08:00
就是有认为不会有人这么闲,所以就存在某些服务管理后台等等直接用默认密码或者弱口令,然后。。。。。
geekvcn
2018-11-20 01:27:18 +08:00
別人的肉機一大堆 , 不拿來掃拿來閒置? 現在好點 , 有的肉雞只被拿來挖礦 , 以前更瘋狂 , 利益使然 , 自己做好安全防護
opengps
2018-11-20 08:06:26 +08:00
习惯就好,公网环境就是这么恶劣。
所以很多小白从内网没中过毒时代就留下误区,觉得自己的安全防御很到位。然后买了某些公网服务器中毒了就开始甩锅给服务器提供商
Neojoke
2018-11-20 08:35:58 +08:00
现在的情况好多了,大家都是用云服务商,有云给你防护,90 年代拨号自建服务器的时候,基本上脱裤子给人家看,操作系统漏洞百出,自建 IDC 机房的时候,做了防护,你觉得万无一失,不知不觉就被脱库,现在大家看到的什么华住用户消息被泄露什么的,那都是这些数据不知道被倒了多少手,已经没有价值了,才扔出来的。我们能看到的,只是比较低级的罢了
AlisaDestiny
2018-11-20 08:41:55 +08:00
你这想法和我最开始玩 vps 的时候的想法一样,想不通怎么会有人这么无聊。后来你就会明白,这其实就和邮件诈骗一样的,他们用程序自动扫描各种网站上的邮箱,自动发送邮件,当你收到邮件时你以为你被骗子盯上了,其实只是一个不眠不休的程序而已。他们的投入成本可以忽略不计,而一旦有个中招,基本就是赚了。

所以,你做好基本的安全措施就好了(换端口,禁 root 登陆,设置强密码或者用秘钥登陆)。
whileFalse
2018-11-20 09:18:51 +08:00
不知道 lz 用不用云。
我司大部分机器是内网,只有一个跳板机开了个 22,而且用安全组限制了来源 IP。
服务通过负载均衡器公开,负载均衡器是云的,开了 80 443,但不知道域名只能拿到 500 响应。
爱扫扫去。
Greenm
2018-11-20 10:35:52 +08:00
分享一下 shodan 上 ssh 的扫描结果,而 shodan 的扫描只是全世界扫描的冰山一角。

lockiee
2018-11-20 11:37:38 +08:00
哎 我看了我的 22 端口登陆日志……除了我自己还是我自己……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/509422

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX