这是一个创建于 3450 天前的主题,其中的信息可能已经有所发展或是发生改变。
之前在云盾里看到过暴力破解的攻击,ip 都是乱的,什么地方的都有,
但最近半个月的暴力破解都是来自阿里云自己的 ip, 提交工单,阿里云也就敷衍下,压根就没有实际动作(说会关停相应的攻击者的主机)
你们也遇到过同样情况吗? 特别是这个 120.27.122.161
云盾显示攻击者全球累计攻击次数: 10345 还能照常访问。。。。
哪天一不留神就做了别人的肉鸡
 | 1 wy315700 2016-05-10 08:23:29 +08:00 via Android 只能说攻击者用了阿里云的机器罢了 |
 | 2 Bardon 2016-05-10 08:25:38 +08:00 大多是 80 端口的扫描吧,只要你的 web 程序不是老古董,那么无视即可,别被阿里云恐吓了。 挂个纯静态页面,也能提示你受到各种各样的攻击。 如果 ssh 爆破,那么显然你需要一个 ssh key 。 |
 | 3 aheadlead 2016-05-10 08:33:28 +08:00 你的才 5 位数…… |
 | 4 aivier 2016-05-10 08:39:19 +08:00 via Android 每天登陆 SSH 都能看到几十万次的爆破,密码够强也没什么关系~ |
 | 5 Keyes 2016-05-10 08:58:43 +08:00 via iPhone yum install denyhosts systemctl enable denyhosts systemctl start denyhosts 然后 ssh 改成证书登陆,应用没问题就很难被人爆破 |
 | 6 openbaby 2016-05-10 09:19:41 +08:00 如果必须要用密码登陆的话, 1.阿里云安全组配置只开放相应对外服务端口,其他端口一律阻止。 2.修改 ssh 端口 3.设置复杂用户名&12 位以上数字大小写字母符号密码 4.禁止 root 登陆 5.su-密码设置为另一个 12 位数字大小写字母符号密码 6.限制每 10 秒扫描 5 个端口即拉黑 600 分钟。 你整成这样,扫的人也就没劲了,这 TM 要扫到猴年马月。。 |
 | 7 heiguo 2016-05-10 09:23:25 +08:00 可以配一个 fail2ban |
 | 9 Laynooor 2016-05-10 09:29:55 +08:00 via Android 我的 ECS 和这个 IP 在同一网段.. 应该也是学生机 |
 | 11 BOYPT 2016-05-10 10:29:56 +08:00 我猜是阿里云的云盾什么都有自己的扫描系统…… |
 | 12 icybee 2016-05-10 10:43:11 +08:00 证书安全很多 && 写程序稍微注意一下安全性 |
 | 17 8cbx 2016-05-10 11:14:28 +08:00 一个办法是手动添加黑名单,就在 ECS 的安全组里,另外一种方法就是在服务器里面配上 Google Authentication ,每次登陆服务器需要动态验证,这样所有爆破就不用理会了 |
 | 19 kn007 2016-05-10 12:06:11 +08:00 换个端口, 22 做个伪装,或者直接利用 fail2ban ,尝试 22 就 ban |
 | 20 esile 2016-05-10 12:56:38 +08:00 via iPhone 随机 16 位大小写特殊符号数字密码 他有兴趣就让它破呗 怕啥 |
 | 21 helloworld01 2016-05-10 13:00:22 +08:00 @openbaby 的建议,楼主可以采纳。攻击行为来自不同的服务商,阿里云可以处理自己违规 IP ,但是处理不了外边 IP 对您服务器的攻击,所以首先提升自身防御能力还是很有必要的。 |
 | 23 aliyunservice 2016-05-10 13:10:36 +08:00 您好, 您提交工单后,阿里云会核实您提供的攻击信息,经核实该 IP 确实有攻击行为,我们会关停该 IP 所属服务器,同时通告该服务器所有者,排查原因,处理完毕后才可再次开启。经确认,您工单中提交的该 IP 确实存在攻击行为,我们已经关停了该 IP 所属服务器,感谢您对阿里云的支持。另外,提升安全防御能力,可以将此类安全问题防患于未然! |
 | 24 just1 2016-05-10 13:10:48 +08:00 via Android 国内大多都是用阿里的服务器做攻击扫描的,有什么问题吗 |
 | 25 qqmishi 2016-05-10 16:00:56 +08:00 我记得以前就有个用阿里云服务器来盗淘宝账号的新闻,,, 爆破就爆破呗,记录下他们尝试的口令不就是一个弱口令库了嘛 |
 | 26 ragnaroks 2016-05-10 17:30:12 +08:00 虽然我也用阿里的机器,但是我的机器直接屏蔽 121.40.*这个段,原因就不用我多说了 |
 | 28 strwei 2016-05-10 19:18:46 +08:00 安利一个小技巧阿狸云的机器开通按秒计费有 bug ,可以不扣钱,自己研究吧 |
 | 31 tSQghkfhTtQt9mtd 2016-05-10 21:05:39 +08:00 via Android |
 | 32 xuhaoyangx 2016-05-10 21:08:45 +08:00 证书登录 +谷歌的 authentication+fail2ban deny+iptables 关闭端口检测特定数据包打开端口+定期打打补丁 |
 | 33 binux 2016-05-10 21:25:27 +08:00 @strwei 让我猜猜 在不考虑优惠系统 bug 情况下 按秒计费就是 时间 * 单价,如果从时间上做手脚,那就是开始时间或者结束时间。如果从单价做手脚就是改成 0 。不过如果是用户输入未检查的 bug 就太蠢了。 然后根据用的是「不扣钱」的描述,也有可能是扣费阶段的 bug 。扣费周期,机制漏洞都有可能。没用过,猜不出。 |
 | 34 alect 2016-05-10 22:11:51 +08:00 呵呵,表示我屏蔽了很多来自阿里云的 IP 段 |
 | 35 ladyv2 2016-05-11 07:54:34 +08:00 @msg7086 需要的啊。我记得是需要连接 https://chart.googleapis.com/ |
| 36 8cbx 2016-05-11 09:12:13 +08:00 @ladyv2 不需要连 google ,只需要 apt-get 一个包,然后本地配置完成关联到 ssh 上。配完之后会给你一个二维码,你拿 google authentication 的 app 扫一下就 OK 。 app 各大平台上都有,也不用翻。 @liwanglin12 国内能用 |
 | 37 cheng007 2016-05-11 09:24:21 +08:00 我已经把 ssh Root 远程登录关了,黑客同时猜中账号和密码的可能性为 0 |
 | 38 kookxiang 2016-05-11 10:16:06 +08:00 阿里云针对 ssh 攻击不多啊,挂了个蜜罐,一个月才几次的样子 |
 | 39 x8888k 2016-05-11 10:57:44 +08:00 安装 denyhosts |
 | 40 62900015 2016-05-11 14:08:28 +08:00 每天都有来自如阿里云的攻击者,提交工单以后依然没有处理,总是敷衍。 |
 | 41 goodryb 2016-05-11 16:07:55 +08:00 如果不是阿里云的 IP 攻击你 1 万多次,你投诉谁? 上面 V 友也说了很多预防的办法,如果你特别注意安全,搭配一些防暴力破解措施又有什么问题呢 |
Select Language