这是一个创建于 2829 天前的主题,其中的信息可能已经有所发展或是发生改变。
服务器磁盘空间异常,一查是 /var/log/btmp 文件巨大,打开看看,发现 119.29.162.106 在不断尝试 ssh 登陆。 把 IP 放到浏览器里看看吧,竟然还有个网页,看上去貌似攻击工具 我这台服务器上没什么重要资料,完全是练手测试用的。这也攻击,是闲得蛋疼吗?还是找肉鸡呢?
76 条回复 2018-03-06 10:52:16 +08:00
 | 1 etc 2018-03-04 19:43:04 +08:00 改 ssh 端口就行了,来 V2EX 能找到攻击者? |
 | 2 yexm0 2018-03-04 19:46:51 +08:00 via iPhone 少见多怪。。。我这台吃灰 vps 两天时间就有 4.6W 个尝试登录呢。你这只有一条鱼来撞比我好多了  |
 | 3 luo362722353 2018-03-04 19:52:43 +08:00 via iPhone 我这一台机器开了 15 天,直接 40 万次,感觉俄罗斯的服务器都是被超高速的爆破 |
 | 4 xxoxx 2018-03-04 19:53:53 +08:00 via iPhone  1 ssh 开放端口分分钟都有人扫描你,改端口+复杂密码比较靠谱 |
 | 6 zander 2018-03-04 19:56:50 +08:00 为什么不改成只允许密钥不允许密码。 |
 | 7 timothyye 2018-03-04 20:01:01 +08:00 via Android 扫 ssh 的多了去了,习惯了就好 |
 | 8 hekaihao2015 2018-03-04 20:04:50 +08:00 腾讯云的,后台发工单举报就行,会封机子的 |
| 9 hekaihao2015 2018-03-04 20:05:21 +08:00 现在我都是密钥登陆 |
 | 10 Lentin 2018-03-04 20:07:22 +08:00 via iPhone 改端口,光密钥验证不好使的,只要开了 22 就有人扫你,别问我怎么知道的。 |
| 11 hekaihao2015 2018-03-04 20:07:44 +08:00 IP 119.29.162.106 地理位置 中国广东广州 经纬度(Lng,Lat) 113.280637,23.125178 应用类型 IDC 运营商 电信 /联通 /移动 所有者 tencent.com 当前行为 机器人 僵尸网络 恶意软件 网络攻击 失陷主机 历史行为 来源 blocklist : 20180206 : 机器人 firehol : 20180206 : 僵尸网络 firehol : 20180303 : 恶意软件 rutgers : 20180304 : 网络攻击 emergingthreats : 20180303 : 失陷主机 |
| 12 hekaihao2015 2018-03-04 20:08:31 +08:00 @Lentin 密钥怎么扫 |
 | 13 doubleflower 2018-03-04 20:11:57 +08:00 30 话说有没有人做个假冒的 ssh 放在 22 口,假装被登录,对方打任何命令都是 echo 操你老母 |
| 14 Lentin 2018-03-04 20:12:43 +08:00 via iPhone 1 @hekaihao2015 开密钥验证也有 ip 扫你,看日志就晓得了,两个法子清静,1 关日志,2 换端口 |
| 15 Lentin 2018-03-04 20:13:33 +08:00 via iPhone 1 @doubleflower 好像还真有这么个类似的东西,忘了叫啥了 |
 | 16 ResidualBlood 2018-03-04 20:15:59 +08:00 via Android @doubleflower 蜜罐? |
 | 18 yingfengi 2018-03-04 20:21:44 +08:00 哪个 movie.mp4 可能有点信息 正在拖,很慢,只有 10 几 k/s |
 | 19 580a388da131 2018-03-04 20:21:57 +08:00 via iPhone 向腾讯云举报 |
 | 21 huaxianyan 2018-03-04 20:50:15 +08:00 via Android 1 装个 fail2ban ? |
 | 22 wlwood 2018-03-04 20:57:44 +08:00 via Android @doubleflower 哈哈,这个玩法不错 |
| 23 wlwood 2018-03-04 21:28:48 +08:00 via Android @doubleflower 以前应该用 chroot, 我们是不是可以用 docker 来搞个? |
 | 24 xnile 2018-03-04 21:53:20 +08:00 @hekaihao2015 这是用那个网站查的 |
 | 25 fumer 2018-03-04 21:54:07 +08:00 via iPhone 把 root 用户改成不允许直接登陆,用别的用户转 |
 | 26 PHPer233 2018-03-04 22:07:14 +08:00 via iPhone 他是想爆破你的 ssh 登录密码。你可以用防火墙屏蔽这个 IP 地址。 |
 | 27 nicevar 2018-03-04 22:40:20 +08:00 via Android 这种一般都是被控制了的, 自动扫描暴力破解 ssh,阿里云好多服务器都这样 |
 | 30 hp3325 2018-03-04 22:46:11 +08:00 via Android denyhosts 对付 SSH 尝试 或改 SSH 端口配合 iptables 对付端口扫描 |
 | 31 gujinxin 2018-03-04 22:49:13 +08:00 ufw 部署一下也行~ |
 | 32 liqingcan 2018-03-04 23:28:04 +08:00 via Android 腾讯云的机子吧,感觉 ip 跟我的有点像, |
 | 33 zhjits 2018-03-04 23:29:36 +08:00 我这边的解决方案是 22 进站直接 tarpit |
 | 34 amd00 2018-03-04 23:52:09 +08:00 via Android fail2ban 就好了 |
 | 35 ihciah 2018-03-05 00:04:37 +08:00 via iPhone @doubleflower 应该不需要假冒端口,直接把 root 用户的 shell 改下就行? |
 | 36 widdy 2018-03-05 00:06:46 +08:00 网页加载了最后有视频,上面有名字!!!! |
 | 37 nosmile 2018-03-05 00:07:12 +08:00 @doubleflower 可以搞个蜜罐收字典,美滋滋 |
 | 38 ysc3839 2018-03-05 00:15:52 +08:00 via Android 1 |
 | 39 lScarlet 2018-03-05 00:41:17 +08:00 via Android 马克 |
 | 40 ctro15547 2018-03-05 08:33:17 +08:00 F2B 限制成 2 次 输错了停 1 天 ,世界清净了 |
 | 41 Kimyx 2018-03-05 09:22:55 +08:00 DenyHosts 来一碗 |
 | 42 dangyuluo 2018-03-05 09:29:38 +08:00 auto ban |
 | 43 cpdyj 2018-03-05 10:12:34 +08:00 via Android 装个 sshguard,自动 ban |
 | 44 aksoft 2018-03-05 10:37:15 +08:00 证书登录,扫 |
 | 45 xshwy 2018-03-05 10:55:10 +08:00  还有首页,这是什么鬼… |
 | 46 Senorsen 2018-03-05 11:07:59 +08:00 这只是一台被黑了的肉鸡自动扫描互联网找更多肉鸡吧…… |
 | 47 WangYouGX 2018-03-05 11:35:55 +08:00 看了下,是腾讯的 ip,估计是 vps 吧 |
| 48 WangYouGX 2018-03-05 11:36:41 +08:00 @hekaihao2015 怎么检测出来的? |
 | 49 16500682 2018-03-05 11:40:41 +08:00 via iPhone @580a388da131 没有用以前向阿里云举办过卵用都没有 |
 | 50 weakiwi 2018-03-05 11:45:14 +08:00 via Android ssh 可以设置 login fail 次数的 |
 | 51 jiqing 2018-03-05 11:55:32 +08:00 改个服务器端口,配置文件改最大尝试登录就好了。 坐等那个假 ssh,echo xx 你老母的技术 |
 | 52 daemonghost 2018-03-05 13:18:43 +08:00  |
 | 53 intsilence 2018-03-05 13:55:57 +08:00 标准答案 fail2ban |
 | 54 bfpiaoran 2018-03-05 14:14:04 +08:00 via Android 估计这个机器也是 22 端口扫描出来的肉鸡 可以抓他的爆破密码 来一波反杀 233333 |
 | 55 hsuan 2018-03-05 14:17:37 +08:00 via Android fail2ban 都不装? |
 | 56 nullcoder 2018-03-05 14:28:05 +08:00 #52 @daemonghost 这个是哪里可以查? |
| 57 daemonghost 2018-03-05 14:34:11 +08:00 2 @nullcoder 我是通过这个网站查的: https://www.abuseipdb.com/ |
 | 58 liuxu 2018-03-05 14:58:05 +08:00 买 vps 后改 ssh 端口,禁密码用密钥是基本操作 |
 | 59 wsstest 2018-03-05 15:15:38 +08:00 楼主我扫了下这个 ip 的端口,发现开了 21 和 22,预收我也用 hydra 暴力破解了一下这个 ip 开放的 ftp 和 ssh 端口,虽然并没有破解出密码,但……也算帮你报了一下被扫描之仇 |
| 60 wsstest 2018-03-05 15:16:25 +08:00 另外,统一回复一下楼上,改 ssh 端口是没有任何作用的,端口扫描一下就知道你的 ssh 开在哪个端口上面了 |
 | 62 dko 2018-03-05 16:28:26 +08:00 @hekaihao2015 大哥你是在哪儿查的 |
 | 65 sinver 2018-03-05 17:34:15 +08:00 广东省广州市 深圳市腾讯计算机系统有限公司 IDC 机房(BGP) |
 | 67 pyufftj 2018-03-05 17:43:33 +08:00 今天看到几个 IP 攻击 ssh 端口,攻击了 110W 次。。暴破密码出来我输 |
 | 68 locoz 2018-03-05 17:56:37 +08:00 @doubleflower @jiqing 你们要的 echo 操你老母[]( https://i.loli.net/2018/03/05/5a9d13ebd2a5a.png) |
| 69 locoz 2018-03-05 18:02:03 +08:00 |
 | 70 Applenice 2018-03-05 18:02:21 +08:00 @hekaihao2015 大哥。。。这是哪里查的啊 |
| 71 locoz 2018-03-05 18:03:16 +08:00 3 #69 弄错了 尴尬  |
 | 74 kfll 2018-03-05 18:48:53 +08:00  4 标准姿势应该是在 V2EX 发个帖子:《最近抽空做了新首页,119.29.162.106 ,欢迎测试》、《最近抽空做了个无污染 DNS,119.29.162.106 ,欢迎测试》 马上就有人帮你 D 掉他了 |
 | 75 liuguang 2018-03-06 09:42:10 +08:00 广州腾讯云的、、、 |
 | 76 ifconfig 2018-03-06 10:52:16 +08:00 用 DenyHosts |
Select Language