看到隔壁在说开了 22 端口被各种扫,还有 3389 的,即便改了端口也没什么用,照样被扫,还有可能一天上千次的尝试登录。
其实我很不理解,他扫归他扫,他试归他试,对用户有什么影响?即便尝试了几千万次,不知道你密码有什么用?反正都是登不上,何必要管他们,放着不就完了?有什么影响?
也看到过有人说被黑了的,但这些无一例外都是弱密码导致的,和端口暴不暴露、协议安不安全没任何关系。
至于说“如果哪天 rdp/ssh 出现了漏洞,那直接中招”这种想法,rdp/ssh 已经发展了几十年,相关技术已经足够成熟,除非你机器系统过于老旧仍然使用远古版本,试问,现代 rdp/ssh 有哪些是由于协议漏洞而被黑了的?确实有很多的高危漏洞在不断被暴出来,我们公司也会要求升级 openssh 版本,但先不说这些漏洞的使用都是有前置条件的,即便满足了前置条件也做不到直接登录机器,更多的是某些加密算法强度不能满足现代化要求,又或者有机会出现中间人攻击。
如果希望纯利用漏洞来登录一台机器,往往需要多个漏洞相互配合。这么复杂的攻击显然不是扫端口这种广撒网的方式能成功的,这种程度已经是针对性攻击了。比如交易所/加密钱包被攻破被盗,这是已经被盯上了,大概率使用了人性的漏洞(钓鱼,弱密码,不安全的存储/传输方式,撞库),而不是安全协议本身有问题,包括各种远程访问协议,传输协议等,这些社工方式不在本帖考虑范围内。
对于 nfs, samba, ftp, telnet 这些东西,nfs 和 smb 本来就是内网用的,不应该暴露公网(即便如此,smb v3 和 nfs v4 都有加密协议); ftp 和 telnet 上古产物不考虑。至于其他的,比如宝塔面板,xx 面板出现大规模漏洞,这是第三方软件的事情,和 ssh rdp 本身无关。
以上只说 ssh 和 rdp ,只是感觉这俩东西足够安全(你的密码本身没有问题),完全不需要做其他额外的防护。
所以,请告诉我暴露这些端口的弊端有哪些?
1
adoal 22 小时 31 分钟前
我自己管理的服务器从来不封或者改管理端口。但是遇到法人单位的中心机房在网关设备上封 22 和 3389 的,因为,各下属二级业务单位的信息化共用机房,我能把这些管理端口上的安全配置做好,但跟我用同一个机房甚至同一个网段服务器的其它单位,往往是没有技术部门的,负责信息化的是综合办公室里一个文科出身的副主任或者普通科员,一切都靠技术能力浮动范围很大的业务系统开发厂家来搞。然后导致很多 root 弱密码进入。所以管理部门一刀切了,我也没办法。
|
2
uuair 21 小时 10 分钟前
我自己碰到的问题是日志增加的太快了,要是限制日志容量,那么可能会错过有用的信息。
而且,谁说自己的密码肯定没问题呢?你 20 位特别复杂的密码,也可能因为漏洞被扫出来啊,不可能每时每刻都打补丁吧,万一你就是那第一个被发现漏洞的机器呢?这就好比,你夜里 12 点会因为马路上没人而不穿衣服上街么? |
3
ShinichiYao 21 小时 4 分钟前
主要是断了攻击者的念想,每天上万次来自世界各地的 IP 在盯着猜你的密码
|
4
yeqizhang 21 小时 0 分钟前 via Android
占个楼问些问题🐶
不懂网络这块,有没有大佬解惑下,就是换了端口,除了 ssh 这种会响应明显的信息外,其它一些 tcp 服务在换了端口后是怎样识别到是什么服务来攻击的呢? 还有个问题,就是我有个 web 服务,如果不公开 path ,别人是不是就没法请求到这个接口? |
5
ysc3839 21 小时 0 分钟前 via Android
一般认为 VPN 服务漏洞没那么多,而且就算有漏洞被攻破了,还得通过 VPN 去扫描别的服务,再进行进一步攻击才能拿到权限。如果说 VPN 服务存在远程代码执行漏洞,也可以用低权限用户运行来防范(不过这个方案不适用于内核模式实现的 WireGuard),而 ssh rdp 之类的,因为涉及用户登录,只能以高权限运行。
|
6
jhytxy 20 小时 54 分钟前 1
前一阵不是 Debian 的 ssh 还出漏洞了你不知道?
这世界就是个草台班子 |
7
ysc3839 20 小时 50 分钟前 via Android
“现代 rdp/ssh 有哪些是由于协议漏洞而被黑了的”
搜索 rdp rce 就能找到 https://www.cnblogs.com/backlion/p/11482322.html |
8
NevadaLi OP @uuair #2 日志还好吧,好几年也没上 GB
“而且,谁说自己的密码肯定没问题呢?” 想要确认自己的密码是否安全,chrome 就可以告诉你使用的密码是否有泄露。 “你 20 位特别复杂的密码,也可能因为漏洞被扫出来啊” 请举例哪些是密码设置了很复杂,系统不是古董,但由于漏洞被拿到登录权限的? |
9
NevadaLi OP @jhytxy #6 请具体列出 CVE 号码。我们公司也因为漏洞而升级 openssh ,恰好上月就升过,也看了漏洞详情,但就像我说的,这些漏洞的使用都有前置条件,即便满足了前置条件也做不到直接登录机器,更多的是某些加密算法强度不能满足现代化要求,又或者有机会出现中间人攻击。
@ysc3839 #7 这是 2019 年的漏洞,距离现在已经五六年了,对应 Windows 10 version 1909 ,该版本在 2021 年已经停止支持。如果现在还有人在用不受支持的 windows 远古版本,那我还能说啥?目前消费级系统里,受支持的系统为 Windows 11 version 23H2 ,如果你升级到了受支持的系统还有这漏洞,那当我什么都没说。 |
10
aminobody 20 小时 1 分钟前
我喜欢 rdp over ssh, ssh 仅密钥, rdp 弱密码, 仅在公网暴露 ssh 端口.
|
11
lambdaq 19 小时 54 分钟前
是这样的,没弊端。就好比如果你家里穷得一批,那么你锁不锁门无所谓的。
LZ 勇敢的向前冲。 |
12
uuair 19 小时 24 分钟前 1
@NevadaLi #8 请搜索:“3389 端口+输入法漏洞”
当年我用这个漏洞进入了无数台开了 3389 端口的机器,你还需要我免费提供劳动力给你证明么?这种案例太多了。 |
13
chouxw112233 19 小时 5 分钟前
4 楼的问题我也想知道
tcp 端口是可以被扫的,只需要尝试握手就行了。但是协议那么多,难道只尝试常用协议吗? 比如 smb ,rdp ,ssh ,tftp ,ftp ,telnet ,http? 还有,协议是协议,实现是实现,可能 nginx 的 http 漏洞,别的服务端不存在。黑客的流程难道是扫到 tcp 8081 ,然后尝试 http 去访问,htto 建立成功了就尝试 nginx 漏洞? udp 是不是就安全许多? path 这个我也不清楚,我开了一个 nginx 服务,指定 test.example.com 才有我的服务,黑客有技术能扫到吗? |
14
yinmin 18 小时 35 分钟前
ssh 仅密钥登录(禁用密码模式),毕竟这么多大佬公司都用 ssh ,应该问题不大。如果还需要加一次保护,可以 ssh over tls(也能过某些变态防火墙)
rdp 不敢直接暴露公网,因为 rdp 曾经出现了几次 0day 漏洞。建议: rdp over vpn rdp over ssh rdp over tls(双证书认证) rdp over frp(stcp) |
15
NevadaLi OP |
17
ococnehc 18 小时 2 分钟前
@yeqizhang 其实和 ssh 密码字典类似,攻击脚本也有个类似与服务端口名单的表,里面填了比较常用的服务端口和对应的默认配置,然后用表里面的信息一个个试,所以只要你的端口不是默认配置,又没有任何常见回传,脚本没撞到,基本上是很安全的
|
19
delacey 17 小时 57 分钟前
因为对安全的容忍度不一样,很多情况下大家需要更安全的 ssh
|
21
Gitmeeri 17 小时 29 分钟前 via Android
尝试登录的都是针对弱密码的,试了那些常见字典库不行它们会自己离开。。。
|
22
kenneth104 17 小时 14 分钟前
曝露了,就可以直接把你端口 dd 死
遇到过不少了 |
23
fano 17 小时 13 分钟前
防火墙限制下源地址,比如禁止中国大陆以外访问。
|
24
NevadaLi OP @kenneth104 #22 ddos 是攻击,这东西无论什么端口都能被 d ,包括 80 443 ,照这么说机器都别放互联网了,都有可能被 dd 的。。。
|
28
WhatTheBridgeSay 8 小时 14 分钟前
|
29
jqtmviyu 3 小时 21 分钟前
我就没改 ssh 端口, 关闭密码登录, 只允许密钥.
服务全在 docker 里. |
30
NevadaLi OP @WhatTheBridgeSay 改端口号确实理论上来说可以减小攻击面,但我不认可这个方法,因为很多常用服务的端口号都是固定的,为什么 3389 不行?按照这个逻辑来说,那貌似我们互联网的各种 https 都应该是随机端口号,而不是固定的 443 。
如果说存在某个漏洞是由于 3389 这个数字导致触发了什么奇奇怪怪的溢出之类的原因要改掉 3389 ,这个是可以接受的。 |