Chiphell - 分享与交流用户体验

标题: 现在肉鸡太多了,防不胜防 [打印本页]
作者: blanksign    时间: 2025-2-12 01:55
标题: 现在肉鸡太多了,防不胜防
本帖最后由 blanksign 于 2025-2-13 22:08 编辑

(, 下载次数: 21) (, 下载次数: 18)
我说怎么看到CPU忽高忽低的,上去一看就发现一片红彤彤的login failure for user root from 183.52.220.96 via ssh。也没啥规律,从2025-02-12 01:07:44开始到2025-02-12 01:39:28 ban禁,尝试了2810次,放的白名单范围有点大了,懒得改默认端口。

(, 下载次数: 13)
2025-02-13 22:08 ban了一天,都没有后续动作,看样子人为操作概率比较大???
作者: gg骄    时间: 2025-2-12 02:16
不明觉厉        
作者: 老饭    时间: 2025-2-12 02:31
为啥要对外开ssh
作者: blanksign    时间: 2025-2-12 02:37
老饭 发表于 2025-2-12 02:31
为啥要对外开ssh

有在外管理的需要,肯定开ssh啊。
作者: 老饭    时间: 2025-2-12 03:07
blanksign 发表于 2025-2-12 02:37
有在外管理的需要,肯定开ssh啊。

wg进去再ssh啊
作者: blanksign    时间: 2025-2-12 08:29
老饭 发表于 2025-2-12 03:07
wg进去再ssh啊

那我是用手机呢?还是用路由器呢?还是用电脑呢?
作者: linkang520    时间: 2025-2-12 09:47
RouterOS三步敲门登录法
https://www.irouteros.com/?p=2917
作者: Mufasa    时间: 2025-2-12 09:55
不要用22端口做SSH

如果一定要22端口,必须强密码

几千次登录倒是没啥,我那些云服务器基本都这样
后来我在云服务器的防火墙里面吧22端口的放行规则删了
等需要管理的时候再加回去就好。。。。
作者: casc    时间: 2025-2-12 10:04
ssh 22端口有些都不让开放 我现在设置密码都是直接生成一个16位的大小写字母数字特殊字符混和的 自己都记不住
作者: wish    时间: 2025-2-12 10:07
这有什么稀奇的,家里的的服务器3389 改了端口 ,每天几千次暴力尝试
作者: AAGun    时间: 2025-2-12 10:13
在阿里云的主机个人经验是修改成SSH证书登录,能少很多这种肉鸡尝试登录的情况。
作者: Jerryhze    时间: 2025-2-12 10:36
直接开ssh=等着被爆破
作者: blanksign    时间: 2025-2-12 11:07
linkang520 发表于 2025-2-12 09:47
RouterOS三步敲门登录法
https://www.irouteros.com/?p=2917

懒人表示,记不住。
作者: blanksign    时间: 2025-2-12 11:09
Mufasa 发表于 2025-2-12 09:55
不要用22端口做SSH

如果一定要22端口,必须强密码

怎么说呢,懒人懒得改,而且,也仅有昨晚会有这个记录,以往都没碰到这个。
作者: tedsun    时间: 2025-2-12 11:12
提示: 作者被禁止或删除 内容自动屏蔽
作者: blanksign    时间: 2025-2-12 11:13
casc 发表于 2025-2-12 10:04
ssh 22端口有些都不让开放 我现在设置密码都是直接生成一个16位的大小写字母数字特殊字符混和的 自己都记不 ...

复杂密码是一回事,人家可能是撞库爆破,一直在尝试,一直产生新的connection,CPU资源就这样被消耗没了,上了ban list之后,几分钟后就没动静了。
作者: blanksign    时间: 2025-2-12 11:14
wish 发表于 2025-2-12 10:07
这有什么稀奇的,家里的的服务器3389 改了端口 ,每天几千次暴力尝试

确实没啥稀奇的,带公网IP的机器,就要承受这些东西。
作者: blanksign    时间: 2025-2-12 11:16
Jerryhze 发表于 2025-2-12 10:36
直接开ssh=等着被爆破

不不不,应该说,带公网的设备,都容易被爆破盯上。
就算你换端口,不开SSH,还有其他的端口和功能被尝试,上面的回复还有mstsc的被尝试。
作者: blanksign    时间: 2025-2-12 11:17
tedsun 发表于 2025-2-12 11:12
我家里的服务器开3389被勒索了
现在都不开,virtual private net回家登

心疼你一秒,还好我没有dstnat出去。基本都是内网互联。
作者: ishadow    时间: 2025-2-12 11:47
把除了winbox的服务通通关了
作者: Montelucast    时间: 2025-2-12 11:49
你把账号密码全部取消就行了,只用key
作者: 年轻的樵夫    时间: 2025-2-12 11:53
有个简单并有一定效果的方式,把端口改为非常用端口,然后把尝试链接22端口的全部自动拉黑名单
作者: blanksign    时间: 2025-2-12 11:54
ishadow 发表于 2025-2-12 11:47
把除了winbox的服务通通关了

你是真的以为只留winbox就没有这类爆破的问题???
作者: blanksign    时间: 2025-2-12 11:56
年轻的樵夫 发表于 2025-2-12 11:53
有个简单并有一定效果的方式,把端口改为非常用端口,然后把尝试链接22端口的全部自动拉黑名单 ...

那你确实想多了,我又不是没改过,从bigcat的CTS穿透,更换端口的,照样被尝试登录。现在CTS自身做了防护,已经不怎么看到这个log了。
作者: 年轻的樵夫    时间: 2025-2-12 12:05
blanksign 发表于 2025-2-12 11:56
那你确实想多了,我又不是没改过,从bigcat的CTS穿透,更换端口的,照样被尝试登录。现在CTS自身做了防护 ...

尝试链接常用端口的IP上来就被BAN了,还怎么尝试登陆?除非能绕过防火墙
作者: blanksign    时间: 2025-2-12 12:16
年轻的樵夫 发表于 2025-2-12 12:05
尝试链接常用端口的IP上来就被BAN了,还怎么尝试登陆?除非能绕过防火墙

所以直接给它上ban list,后面都没动静。
作者: ishadow    时间: 2025-2-12 14:15
blanksign 发表于 2025-2-12 11:54
你是真的以为只留winbox就没有这类爆破的问题???

难道不比门户大开的好?关了后这些扫描爆破就没了,想要访问方法多的是,没必要直接开放ssh
作者: blanksign    时间: 2025-2-12 14:19
ishadow 发表于 2025-2-12 14:15
难道不比门户大开的好?关了后这些扫描爆破就没了,想要访问方法多的是,没必要直接开放ssh ...

你是真一点都不给自己留活路啊。。。
作者: ishadow    时间: 2025-2-12 14:25
blanksign 发表于 2025-2-12 14:19
你是真一点都不给自己留活路啊。。。

一些基本的防火墙策略还是要添加的,ros难道不是设置完后就忘记这玩意存在的吗
作者: blanksign    时间: 2025-2-12 14:29
ishadow 发表于 2025-2-12 14:25
一些基本的防火墙策略还是要添加的,ros难道不是设置完后就忘记这玩意存在的吗 ...

我确实是忘记它的存在,要不是看到zabbix里面cpu突然70%,我也不会关注到它。
作者: ableman    时间: 2025-2-12 14:30
fail2ban三次直接banip
(, 下载次数: 21)
作者: zengfanxiang    时间: 2025-2-12 14:41
这事无解,只要你开了公网服务总有人扫。
最多也就是fail2ban。换其他方式登录,禁用用户名密码登录。。。。

以前ROS开了L2tp连内网,这都有其他IP尝试登录。。。。。
作者: blanksign    时间: 2025-2-12 14:44
zengfanxiang 发表于 2025-2-12 14:41
这事无解,只要你开了公网服务总有人扫。
最多也就是fail2ban。换其他方式登录,禁用用户名密码登录。。。 ...

本来也是无解的,只要是带公网IP的设备。
作者: a603580168    时间: 2025-2-12 14:50
被扫描了吧,这东西一早就有啦。都是脚本扫描
作者: wangjiancqu    时间: 2025-2-12 14:57
标题是不是该改成“现在抓鸡的太多了,防不胜防”。说句有用的,现在家庭有远程管理需要的,比较安全的方法是用维皮恩而不是开SSH。
作者: blanksign    时间: 2025-2-12 15:03
a603580168 发表于 2025-2-12 14:50
被扫描了吧,这东西一早就有啦。都是脚本扫描

是不是脚本不知道,但是我知道,我上了ban list之后,他就消停了。从ban之后,到现在,数据包一直固定在54 packets。
作者: 大兔子君    时间: 2025-2-12 15:44
建议v-p-n之后再登录
作者: lasx    时间: 2025-2-12 16:23
路由器只开部分端口就行了。22口我改成2510。
作者: zxv    时间: 2025-2-12 16:39
现在ssh就别用密码登录了,配个公钥登录又不麻烦,然后直接关掉密码登录
作者: blanksign    时间: 2025-2-12 16:50
zxv 发表于 2025-2-12 16:39
现在ssh就别用密码登录了,配个公钥登录又不麻烦,然后直接关掉密码登录

对你们来说可能是不麻烦,但是对我来说,相对有一点麻烦,因为我不是每一台登录的client终端都去添加密钥。
作者: tasagapro    时间: 2025-2-12 17:27
ableman 发表于 2025-2-12 14:30
fail2ban三次直接banip

正解
上面一堆ROS这种玩具讨论的不亦乐乎
作者: Charles-Lee    时间: 2025-2-12 17:32
WG还是好用的呀
作者: tyy474    时间: 2025-2-12 17:33
直接不开22端口
作者: fyc858    时间: 2025-2-12 17:33
tedsun 发表于 2025-2-12 11:12
我家里的服务器开3389被勒索了
现在都不开,virtual private net回家登

把管理员账户名字改的复杂点就行了
作者: blanksign    时间: 2025-2-15 10:57
tyy474 发表于 2025-2-12 17:33
直接不开22端口

最好的办法还是全私网环境,NAT4出去。
作者: blanksign    时间: 2025-2-16 15:56
(, 下载次数: 22) (, 下载次数: 20)
当玩具挺好玩的。
作者: Superdoll    时间: 2025-2-16 16:26
Mufasa 发表于 2025-2-12 09:55
不要用22端口做SSH

如果一定要22端口,必须强密码

不要用密码。用证书。
作者: Mufasa    时间: 2025-2-16 16:53
Superdoll 发表于 2025-2-16 16:26
不要用密码。用证书。

不知道怎么配证书,懒得搞。

我用的是非常原始的putty
linux云服务器也只是配置个frps完事
如果被黑了,直接重置,然后重新安装frps就好。

自己家里的机器,22端口一律不对外,有frp,做点对点安全映射就好。
作者: blanksign    时间: 2025-2-16 17:26
Superdoll 发表于 2025-2-16 16:26
不要用密码。用证书。

可惜,这个玩具,不太支持证书方式。



欢迎光临 Chiphell - 分享与交流用户体验 (https://www.chiphell.com/) Powered by Discuz! X3.5