最近 SSH 登录服务器系统发现有很多的失败登录

2020-09-03 14:23:45 +08:00
 summerdog
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.

WARNING! The remote SSH server rejected X11 forwarding request.
Last failed login: Thu Sep 3 14:05:53 CST 2020 from 83.48.101.184 on ssh:notty
There were 4234 failed login attempts since the last successful login.
Last login: Tue Sep 1 10:51:15 2020 fro...

RT,翻译了下,意思大概是自从上次成功的登录已有 4234 次失败的登录尝试。。

使用的硅云香港学生机,四千多次失败的 SSH 登录尝试,什么情况,会不会中病毒了。
4558 次点击
所在节点    云计算
36 条回复
tuine
2020-09-03 19:13:09 +08:00
改不常用端口,基本无扫描,禁用 root 扫描也没用
LnTrx
2020-09-03 19:53:22 +08:00
IPv4 公网被扫是常态
Shintaku
2020-09-03 19:57:46 +08:00
skymei
2020-09-03 22:53:36 +08:00
你把默认的 SSH 端口改掉就基本没事了
xabc
2020-09-03 22:54:54 +08:00
@skymei 掩耳盗铃 😄
Flygar
2020-09-04 00:56:05 +08:00
改 ssh 登录端口,该用密钥方式登录,开防火墙只放行所需端口。效果还不错
ochatokori
2020-09-04 03:45:07 +08:00
@xabc #25 你可能对这个词有误解,隐藏 ssh 提示登录失败次数信息才叫掩耳盗铃,改端口是正确的减少被尝试登录的做法
xabc
2020-09-04 07:23:17 +08:00
@ochatokori
@tuine
@Rheinmetal
安全工具对端口服务的探测是非常快的,改端口不解决核心问题,私钥认证 和 ip 来源白名单是解决问题的方法
Rossweisse
2020-09-04 09:06:30 +08:00
把默认端口改掉。
Wongz
2020-09-04 11:47:18 +08:00
改了大端口之后,基本就没有扫的了
AlisaDestiny
2020-09-04 12:42:58 +08:00
@xabc 你要站在攻击者的角度想问题,如果你知道改默认端口,说明已经有了防范意识,基本不会用弱密码,爆破成本高,如果默认端口没改,使用弱密码的可能性更高。
no1xsyzy
2020-09-04 12:45:36 +08:00
@xabc 并不是,你搞错了问题所在
问题是被扫得日志花了,导致其他问题的排障排半天看着一大堆日志烦,要么就是给 journalctl 加一堆参数、管道到 grep 之类去反选;你说的两个方法只能解决被暴破的问题。
no1xsyzy
2020-09-04 12:49:09 +08:00
@xabc 另一方面,我没 ban 密码登录,但是看日志,高端口一看到 SSH 认证直接断开链接了,根本没有暴破的问题在…… 可能是因为 #31 的说法。
同时,对某一端口的探测快,并不意味着全端口探测快。nmap 全端口测通不测协议要 1 分钟多。
Wizards
2020-09-05 17:36:27 +08:00
为什么没人说安全组。安全组就是最简单的免费防火墙,不消耗 VPS 资源,遇到暴力破解无感知,难道我 out 了
runningman007
2020-09-05 18:33:08 +08:00
Fail2ban
qzy168
2020-09-06 21:35:16 +08:00
改个端口,能解决大部分问题。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/703864

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX