家中的 Linux 服务器上的 ssh 被爆破未遂,但攻击者的 ip 是个内网地址。

2019-02-14 11:49:33 +08:00
 catalina

ssh 密码被暴力破解未遂我是已经经历了好久了,但攻击源是内网地址我还真是第一次见,我家的路由器 WAN 口获得的是公网地址,而不是 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 之一。

这到底是怎么回事?我们家的人除了我就没什么人玩电脑,更别提暴力破解了。而且我们家的内网网段还是 192.168.1.0/24,没有 10.170.166.3 这样的。。。

附上#last -f btmp | head -n 40 的输出:

https://s2.ax1x.com/2019/02/14/kB1FG6.png

(顺带一提:这台服务器的 ssh 端口做了端口映射到公网上去,因为我要用 sftp 接收一些文件)

8488 次点击
所在节点    Linux
44 条回复
4KMOMhIkocgLELMt
2019-02-14 12:23:49 +08:00
10.段是运营商使用的内网段,是运营商大局域网里有台中毒电脑向外感染。
ysc3839
2019-02-14 12:28:09 +08:00
traceroute 这个 IP 地址看看是怎么走的?
davie
2019-02-14 12:29:20 +08:00
你的 wan 口地址是多少? 局域网分配的地址是多少? 攻击地址是多少?
file0X0088
2019-02-14 12:36:20 +08:00
你的 wan 应该获取的只是局域网 IP 而不是你说的公网 IP,你在确认一次看看
JayHawel
2019-02-14 12:40:22 +08:00
码住,楼主有什么新的分析进展没有,倒是吱个声啊。
julyclyde
2019-02-14 12:50:51 +08:00
这个倒不奇怪
公网上并不是不许有私网 IP 的
gesse
2019-02-14 12:53:54 +08:00
你们小区的有电脑中毒了吧

你 apt-get/yum install 个 fail2ban 解决暴力破解这类的困扰
tomychen
2019-02-14 13:00:47 +08:00
难道你奇怪的点不应该是
10.x 怎么跨路由到 192.x?
那能做这个路由的点在哪?
disk
2019-02-14 13:36:10 +08:00
@tomychen 他说了 ssh 有做端口映射,猜测路由点应该就在家用网关上面几层。
TestSmirk
2019-02-14 13:45:54 +08:00
小区就算用 10.x.x.1 难道路由不做内网隔离吗.
用的什么穿透啊.有的穿透会建立 vpn.
catalina
2019-02-14 15:25:27 +08:00
@davie
WAN IP 125.116.110.*
家庭网关 TP-LINK 路由器 192.168.1.1 192.168.1.0/24
Debian 虚拟机的宿主计算机(NAT 方式端口映射) 192.168.1.2
catalina
2019-02-14 15:27:33 +08:00
@gesse 倒是没必要,因为这台 linux 里也没东西。。。
catalina
2019-02-14 15:29:08 +08:00
@disk 应该是了,ping 到那 ping 得通,TTL60,ping 网关 TTL 是 64
catalina
2019-02-14 15:29:55 +08:00
@file0X0088 你把 125.116.110.*叫局域网 ip ?
catalina
2019-02-14 15:30:42 +08:00
承蒙各位好意,我先装个 nmap 扫扫看
catalina
2019-02-14 16:05:03 +08:00
。。。。。。
。。。。。。
。。。。。。
(请先允许我用 3 行句号来表示我此时的心情)
宿主机 nmap 发现有个端口好像开着 Web 服务器,进去一看,是个机顶盒。。。
https://s2.ax1x.com/2019/02/14/kBW8LF.png
大概率是烽火的 HG680 有什么漏洞被攻陷了、或者主人自己破解了这货然后到处煽风点火。
catalina
2019-02-14 17:45:16 +08:00
更新:
这个盒子安全性不高,它开着 adb over network,而且一句 adb connect 下去它就把自己的 root shell 交了。。。
https://s2.ax1x.com/2019/02/14/kBOB4K.png
还好意思说自己的设备名是 godbox(上帝之盒)。。。龟龟,烽火网络就是个弟弟。
flynaj
2019-02-14 17:53:59 +08:00
tracert 10.170.166.3 看一下
t6attack
2019-02-14 18:03:08 +08:00
公网上超过 90%的 ssh 弱口令扫描行为,不是来自真人,而是来自蠕虫病毒。
八成是内网有 ssh 弱口令蠕虫。很多 ssh 弱口令蠕虫 专门攻击机顶盒、摄像头等物联网设备,因为这些设备默认密码是固定的。
tomychen
2019-02-14 18:09:59 +08:00
@disk 我还是很好奇,这条 10 的路由表是怎么被添加上的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/534858

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX