这是一个创建于 2190 天前的主题,其中的信息可能已经有所发展或是发生改变。
ssh 和几个服务端口暴露到公网,天天都有全球的 IP 扫描,或者登陆 ssh 失败被 fail2ban 封禁 1 个月。有这么闲的嘛?我的端口全是 10000 起步的,这都能扫描到?干嘛呢
 |
1
kslr 2018-11-19 23:02:45 +08:00 via Android
利益
|
 |
2
flynaj 2018-11-19 23:22:33 +08:00 via Android
扫描程序不会累😩
|
 |
3
fiht 2018-11-19 23:27:46 +08:00  3
不是能扫描到 10000+
而是 1 - 65525 扫 发送 HELLO 报文 然后根据返回的 banner 做匹配,识别运行的服务。 然后给 API 给黑客用。 所以不是每个黑客都是扫全网 1-65525 的 zoomeye、fofa、shodan 都是做这个的的 |
 |
4
ywgx 2018-11-19 23:31:53 +08:00 via iPhone
zui fan gan
|
 |
5
zhouyut001 OP @ywgx ?
|
|
6
zhouyut001 OP @fiht 了解了
|
 |
7
t6attack 2018-11-19 23:38:02 +08:00
不是人为扫描,是蠕虫病毒的机动扫描。
蠕虫病毒的扩散速度和扫描量是以几何级别增长的。尤其“弱口令”蠕虫,无法有效限制其他病毒重复感染,导致一台肉鸡上往往跑着 N 个蠕虫日夜不停的扫描互联网。 |
|
8
t6attack 2018-11-19 23:54:57 +08:00
以针对 445 端口的扫描为例,ms08-067 这个漏洞爆出来以后,从互联网到局域网,针对 445 端口的扫描和攻击数据包满天飞。
那么这些巨量的扫描行为是怎么产生的?是全球各地黑客 昼夜不停开着扫描器产生的吗? 利用 ms08-067 传播的蠕虫,比较有代表性的:国外的 conficker 蠕虫,在全球感染了约 1000 万台主机。国内的 扫荡波 蠕虫,感染了约 70 万台主机。 每一台被感染的僵尸主机,都会成为新的攻击源,昼夜不停的扫描互联网,继续传播自身。由此产生了巨量的扫描请求。与此相比,黑客手动扫描所占比例,几乎可以忽略不计。 |
 |
9
masker 2018-11-19 23:55:38 +08:00 via Android
我觉得这不算啥。之前在一个不知名 vps 代理商那里买 vps,买了没有立马改密码,第二天登不上了。
|
|
10
zhouyut001 OP @t6attack 🐮🍺
|
|
11
zhouyut001 OP @masker 还有这种操作
|
 |
12
C2G 2018-11-20 01:08:39 +08:00 via Android
@zhouyut001 之前有台 vps 重装系统密码忘改了,然后第二天发现 vps 流量跑了 33T
|
 |
13
crab 2018-11-20 01:20:41 +08:00
就是有认为不会有人这么闲,所以就存在某些服务管理后台等等直接用默认密码或者弱口令,然后。。。。。
|
 |
14
geekvcn 2018-11-20 01:27:18 +08:00
別人的肉機一大堆 , 不拿來掃拿來閒置? 現在好點 , 有的肉雞只被拿來挖礦 , 以前更瘋狂 , 利益使然 , 自己做好安全防護
|
 |
15
opengps 2018-11-20 08:06:26 +08:00 via Android 1
习惯就好,公网环境就是这么恶劣。
所以很多小白从内网没中过毒时代就留下误区,觉得自己的安全防御很到位。然后买了某些公网服务器中毒了就开始甩锅给服务器提供商 |
 |
16
Neojoke 2018-11-20 08:35:58 +08:00
现在的情况好多了,大家都是用云服务商,有云给你防护,90 年代拨号自建服务器的时候,基本上脱裤子给人家看,操作系统漏洞百出,自建 IDC 机房的时候,做了防护,你觉得万无一失,不知不觉就被脱库,现在大家看到的什么华住用户消息被泄露什么的,那都是这些数据不知道被倒了多少手,已经没有价值了,才扔出来的。我们能看到的,只是比较低级的罢了
|
 |
17
AlisaDestiny 2018-11-20 08:41:55 +08:00
你这想法和我最开始玩 vps 的时候的想法一样,想不通怎么会有人这么无聊。后来你就会明白,这其实就和邮件诈骗一样的,他们用程序自动扫描各种网站上的邮箱,自动发送邮件,当你收到邮件时你以为你被骗子盯上了,其实只是一个不眠不休的程序而已。他们的投入成本可以忽略不计,而一旦有个中招,基本就是赚了。
所以,你做好基本的安全措施就好了(换端口,禁 root 登陆,设置强密码或者用秘钥登陆)。 |
 |
18
whileFalse 2018-11-20 09:18:51 +08:00
不知道 lz 用不用云。
我司大部分机器是内网,只有一个跳板机开了个 22,而且用安全组限制了来源 IP。 服务通过负载均衡器公开,负载均衡器是云的,开了 80 443,但不知道域名只能拿到 500 响应。 爱扫扫去。 |
 |
19
Greenm 2018-11-20 10:35:52 +08:00 1
分享一下 shodan 上 ssh 的扫描结果,而 shodan 的扫描只是全世界扫描的冰山一角。
 |
 |
20
lockiee 2018-11-20 11:37:38 +08:00 via iPhone
哎 我看了我的 22 端口登陆日志……除了我自己还是我自己……
|
Select Language