这是一个创建于 893 天前的主题,其中的信息可能已经有所发展或是发生改变。
背景
香港主力加密代理小鸡,系统自带 Fail2Ban 。虽然说密码强度足够,也未泄露,而且机器对外只提供 SSH 登录和酸酸服务,炸了也不心疼
但是,还是感觉心里发毛,于是大约三天前上了密钥登录,关掉了密码登录
干完这件事之后,我一时兴起,决定看看登录日志,看看 SSH 失败登录的情况到底有多严重
不看不知道,一看吓一跳,只能说这机器活到现在,那个复杂的密码真的是辛苦他了.....
简单统计
统计周期:从 4/30 到今天( 5/10 ),也就是十天左右的时间
- 服务器记录了八万多行的登录日志,按平均一次登录尝试打 5 条 log 算,这十天遭受了超过 1.5 万次的 SSH 爆破
- 用 Python 做了脚本(脚本在文末),简单分析了一下日志,导出并去重之后测出了1644 个尝试用于登录的用户名。这里从文件中列举几个常见的和不常见的:
-
常见的:
root 12345 abc aaa zzz user ftpuser ftpuser1 test nginx linux toor guest admin pi orangepi -
不常见的:
julia jon jvj jiankong miguel pablo riad niklas RYSN_zhongying matheus
还是那个日志,统计了连上来的493 个 IP,择取归属地数量前五的如下:
us 99 cn 70 kr 48 au 33 de 25 举两个例子,美国可能是因为 VPS 较为低价,人们大量购买(建站,加密代理之类的),但安全措施没有做足(简单用户名,简单密码,没有 Fail2Ban 等防护软件 至于你说是不是 22 端口,我感觉关系不大,毕竟 SSH 不防主动探测,换个端口,可能消停两天又开始了),导致成为了别人的肉鸡
至于中国 IP ,从具体属地等信息来看,不乏家宽 IP 。推测除了购买家宽代理之外,也有可能是用户电脑由于安装了各种流氓软件等等原因,成为了人家的肉鸡
众生百态
分析日志让人哑然失笑,此处列举几个登陆攻击的行为,与君共赏
这是不知所云(非 SSH 请求发到了 SSH 端口)
sshd[895175]: error: kex_exchange_identification: banner line contains invalid characters sshd[895175]: banner exchange: Connection from 213.*.*.98 port 64661: invalid format 这是知难而退(服务器关闭了密码登录)
sshd[894967]: Received disconnect from 134.*.*.178 port 58562:11: Bye Bye [preauth] sshd[894967]: Disconnected from authenticating user root 134.*.*.178 port 58562 [preauth] sshd[894969]: Received disconnect from 192.*.*.50 port 51560:11: Bye Bye [preauth] sshd[894969]: Disconnected from authenticating user root 192.*.*.50 port 51560 [preauth] sshd[894971]: Received disconnect from 200.*.*.234 port 51036:11: Bye Bye [preauth] sshd[894971]: Disconnected from authenticating user root 200.*.*.234 port 51036 [preauth] 这是爱如潮水(注意 IP 和时间)
20:00:23 - sshd[895661]: Invalid user dockeradmin from 144.*.*.23 port 40902 20:00:23 - sshd[895666]: Invalid user ubnt from 144.*.*.23 port 40990 20:00:23 - sshd[895673]: Invalid user steam from 144.*.*.23 port 41008 ..... 20:00:23 - sshd[895678]: Invalid user postgres from 144.*.*.23 port 40994 ...... 20:00:23 - sshd[895659]: Connection closed by invalid user devops 144.*.*.23 port 40862 [preauth] ...... 20:00:23 - sshd[895668]: Connection closed by invalid user zjw 144.*.*.23 port 41004 [preauth] 这是锲而不舍(同一用户名不同密码多次登录)
sshd[912780]: Disconnecting authenticating user root 59.*.*.186 port 52862: Too many authentication failures [preauth] sshd[912782]: error: maximum authentication attempts exceeded for root from 59.102.161.186 port 52911 ssh2 [preauth] 这是老子!
sshd[921821]: Accepted publickey for root from 2409:****:****:**** port 6**** ssh2: RSA SHA256:****.... sshd[921821]: pam_unix(sshd:session): session opened for user root(uid=0) by (uid=0) systemd-logind[331]: New session **** of user root. 后日谈
我感觉,最根本的防止被爆破 SSH 成功的方法只有三个:
- 不允许非授权的 IP 连接
- 使用足够长的私钥(比如 4096Bit )代替密码进行验证
- 不开放 SSH 登录端口(比如,通过 VPN 连入内网环境后再登录)
虽然说这台机器只是酸酸机,但是鬼知道被爆破后会不会变成下一台肉鸡? 世事难料,不如小心行船,方得万年平安
又或许,我可以允许任意用户名通过,然后连上来的用户都用 ASCII 播放一遍鸡你太美?
后附统计脚本
filename = 'auth.log' for line in open(filename, "r"): if(line.find('sshd') == -1): #非 SSHD 日志,跳过 continue if(line.find('Invalid user') != -1): #空格分隔后的日志,第五和第七位是用户名和 IP 信息 #实际检测请根据实际情况修改截断格式 print(line.split(" ")[5] + "," + line.split(" ")[7]) 深山踏红叶,耳畔闻鹿鸣
全文完,感谢阅读
 | 1 mikewang 2023-05-10 21:41:06 +08:00 看了下我的 fail2ban ,哪天来兴趣了分析一下... Status for the jail: sshd |- Filter | |- Currently failed: 13 | |- Total failed: 130963 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 16095 |- Total banned: 29418 `- Banned IP list: ... |
 | 2 dode 2023-05-10 21:43:31 +08:00 好麻烦,终究还是搞了白名单 ssh_ip |
 | 3 lwjef 2023-05-10 21:46:10 +08:00 via iPhone 先把 22 换个高位,先把端口扫出来再说吧。 |
 | 4 hefish 2023-05-10 21:54:27 +08:00 只是用工具和字典 挂那儿跑。 并不是真的在尝试登录。 基本上只要公网上开端口,用不了多久总有人来扫。没办法的。 |
 | 5 swsh007 2023-05-10 21:55:05 +08:00 via Android 密钥是必须,高位随便扫,其实用那些套了一层防火墙的直接闭了就是,需要用再开最彻底。 |
 | 6 realJamespond 2023-05-10 21:56:53 +08:00 为啥不禁密码登录? |
 | 7 chinni 2023-05-10 21:58:06 +08:00 根本无所谓 直接 只允许 key 登录就好了 其他没啥用 |
 | 9 MFWT OP @realJamespond #6 大哥你要不看看我第二行写的啥.... |
 | 10 Soo0 2023-05-10 22:09:31 +08:00 改端口 白名单,密码关了 开密钥登录 ,实在不行直接关了,自己要用的时候在开,用完关了 |
 | 11 6388xE5FRKTNUT9x 2023-05-10 22:14:06 +08:00 个人在 VPS 上采用的防护策略 防火墙关闭未使用端口 高位 SSH 端口 SSH 强账号密码 3 次登录失败直接 BAN IP ,封禁时间长达一年的的 fail2ban 下面是积攒小半年的结果 ``` Status for the jail: sshd |- Filter | |- Currently failed: 201 | |- Total failed: 1421 | `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd `- Actions |- Currently banned: 5483 |- Total banned: 5483 ``` |
 | 12 SFJ4MEGabMk2 2023-05-10 22:16:31 +08:00 via iPhone SSH 只开在 IPv6 地址上 |
 | 13 est 2023-05-10 22:19:26 +08:00 可以试试做一个蜜罐。无论你输入什么账号密码都能进入一个啥命令都干不了的假 shell 。 |
 | 14 LittleState 2023-05-10 22:19:29 +08:00 @showgood163 #11 啊,都这样了还有这么多吗,话说我只允许密钥登陆应该没啥因患了吧? |
 | 15 zydxn 2023-05-10 22:19:35 +08:00  2 噗,这是老子笑死 |
| 17 6388xE5FRKTNUT9x 2023-05-10 22:22:18 +08:00 |
 | 18 mikespook 所以,之前是 root 挂密码在跑?这和过个浴巾裸奔有什么区别? 现在是 root 用 key pair 的话,大约也就是穿个泳衣逛街了…… |
 | 20 f165af34d4830eeb 2023-05-10 22:37:46 +08:00 首先不建议直接通过 ssh 登录 root 用户 其次建议考虑使用 ssh over vpn 的方式使用(比如 zerotier ),比直接暴露在公网上安全很多 如果有必要可以允许白名单 ip 在公网直接访问 ssh ,作为 vpn 失效时的 fallback 手段。 |
 | 21 nznd 2023-05-10 22:38:56 +08:00 顺带问一下,如果用 frp 转发本地 22 端口到公网服务器的一个高位端口,总是被爆破怎么办,无法使用 fail2ban ,因为源 ip 是 127.0.0.1 ,已经关闭密码登录,只开启 ssh key 登录。设备是树莓派,总是半夜看到硬盘灯一直在亮,上去一看有人在爆破... |
 | 24 eb0c6551 2023-05-10 22:54:02 +08:00 这就让脚本扫有什么实际影响吗?安全系数本来就由你的密钥强度决定。如果有合理的密钥强度,让扫个几百年也没关系。 |
 | 25 shangyu7 2023-05-10 23:00:48 +08:00 挺正常的,你用户名和密码够长一般也没啥问题 |
 | 26 Remember 2023-05-10 23:08:44 +08:00 9 互联网背景噪音而已,几十年来都是这样,用不着大惊小怪的。 |
 | 27 cwcc 2023-05-10 23:41:40 +08:00 1 “互联网背景噪音而已,几十年来都是这样,用不着大惊小怪的。” 说得非常有画面感。 另外,如果闲得慌,还可以弄个假 shell ,就是让那些爆破的人能登录上来,记录他们输入的命令,观察行为,反向渗透( doge ,别问我为什么这么说)。 |
 | 28 y1y1 2023-05-10 23:54:26 +08:00 via iPhone 记得之前用 vultr ,每次新开一台过不了多久就开始疯狂尝试登陆 |
 | 29 tin3w5 2023-05-10 23:58:38 +08:00 via iPhone 1 我是自己写的 shell 脚本定期把登录失败超过三次的 ip 打到一个 ipset 里,然后 iptables 干掉这个 ip ,每天条目不少于 300 个。 此外,博客的 web 日志更逗比,一天能有好几百条到一千多条扫描记录,而且是盲扫没有主机名,只有 IP ,扫不出来还非要继续扫…… |
 | 30 leaflxh 2023-05-11 00:01:31 +08:00 via Android 据说 ipv4 公网扫一边用不了多久 |
| 31 leaflxh 2023-05-11 00:05:42 +08:00 via Android (大概开 5 万台机器,一共四十三亿个地址,抛开私网地址,一秒一个,一天就能扫完 |
 | 32 nuk 2023-05-11 00:08:33 +08:00 看了下,今年已经被尝试 100 多万次密码了,密码设置长一点,不要在其他地方用一样的密码,基本上就没问题了 # cat secure-2023* |gunzip |grep "Failed password" |wc 1029237 15372263 113160720 |
 | 33 FlashEcho 2023-05-11 00:32:16 +08:00 开个 fail2ban 几乎不会有问题,ssh 算是好处理的了,你要是部署其他 web 服务就麻烦得多了 |
 | 34 512357301 2023-05-11 00:32:42 +08:00 via Android 小白借楼问一句,我在 aws 搞了台免费的 ec2 ,只开了 22 和 60000 以上的高位端口,系统装的 ubuntu20.04 ,登录的话按照官方给的 ssh 方式,用.pem 文件作为密钥登录的,没用密码。 话说这种方式安全吗,还用搞 fail2ban 吗?需不需要做其他的加强?真心求教各位,拱手.jpg |
 | 35 churchmice 2023-05-11 00:52:54 +08:00 via Android @512357301 安全得很,把密钥长度搞成 4096 的或者换成 ecc 就更安全了,他有这能耐破解你的 RSA/ECC,直接去攻击银行好了 |
 | 36 lostberryzz 2023-05-11 01:02:07 +08:00 qps 只有不到 1 的扫描,开 fail2ban 我还嫌占资源,个人观点仅限密钥登陆即可,或者懒一点强密码也不是不行吧 |
 | 37 billccn 2023-05-11 06:17:35 +08:00 最稳妥是需要 SSH 的时候进控制面板,用网页版控制台给自己 IP 加一个规则。当然这个只对 VPS 有效,独立主机需要自己整。 我还在 22 端口弄了一个蜜罐,把 TCP window 设置成 1 ,浪费攻击者 CPU 。下面准备研究一下 SSH 客户端有没有漏洞,反攻回去。 |
| 38 MFWT OP |
 | 39 baobao1270 2023-05-11 08:30:37 +08:00 2 「这是老子」楼主说话好可爱( 公网环境确实像黑暗森林,到处都是自动扫描的机器人,其实你开了 HTTP 服务器还能看到一堆自动扫 /wp-admin 尝试弱密码的呢。VPS 上天天都有一堆 SSH 登录失败日志,我从来管,只是定期清理防止占用过大。毕竟我已经习惯密钥登录了,我的所有机器都会执行我自己写的脚本来自动从 GitHub 下载我的公钥并配置只允许密钥登录。 「最根本的防止被爆破 SSH 成功的方法只有三个」,其实 1 并不是:IP 来源端口可能被伪造,而自己的 IP 地址也可能会变动。而 2 、3 只要做到一个就行。 最后楼主选择了「 RSA 2048 」的密钥,其实用 ED25519 更好,密钥更短、性能更强的同时也有 RSA 3000bits 左右的强度。 |
| 40 MFWT OP @baobao1270 #39 我的 PuTTYGEN 默认设置的是 RSA2048 ,有时间我也试试 25519 |
 | 41 skyrim61 2023-05-11 09:17:22 +08:00 很多系统上 可能还不支持 ed25519 |
| 42 MFWT OP |
 | 43 dier 2023-05-11 09:22:57 +08:00 十天才 1.5 万次,前天我有个服务器 75 分钟,同一个 IP 都试了 3.6 万次 |
 | 44 lakehylia 2023-05-11 09:43:47 +08:00 找密钥生成器生成够长的密钥呗 |
 | 45 peasant 2023-05-11 10:02:30 +08:00 我在境外的机器都是只允许密钥登录,然后有一台国内的机器,境外机器的 22 端口只允许国内机器的 IP 连接,每次都是先连接国内机器再连境外的机器。 |
 | 46 MoeMoesakura 2023-05-11 10:10:41 +08:00 纯 codeserver 用途,基本没用 ssh 登陆( ssh 是密钥登录) root@instance-20*******-2**7 ~/workdir# lastb |wc -l 27705 |
| 47 MoeMoesakura 2023-05-11 10:13:22 +08:00 @cwcc #27 实际上确实可以,22 放一个蜜罐然后别的端口放 ssh (毕竟脚本只会扫 22 ) |
 | 48 Bingchunmoli 2023-05-11 10:16:10 +08:00 via Android Fail2Ban 不会配起不起来, 密码登录还是有用的,私钥不可能随时带着 |
 | 49 documentzhangx66 2023-05-11 10:30:10 +08:00 1 说了很多次,公网云主机,管理端口( mstsc 、ssh 等)一定要开 IP 白名单。 开白名单后,直接挡住 99.99% 的攻击。 开白名单的方法很简单,联系运营商客服咨询,以及观察你自己网络在公网上所处网段。 比如电信家宽,如果你的 IP 为 1.2.3.4 , 那么 IP 白名单开一个 1.2.0.0 / 16 就行了,也就是说对于 1.2.*.* 都允许访问。 然后 Linux 安装 fail2ban ,windows 安装 wail2ban 密码用 16 位复杂密码,直接无敌。 |
 | 50 Ally 2023-05-11 10:50:51 +08:00 前端时间开的一个腾讯轻量云,SSH 一直在被人爆破,日志都不停得打印,也没管过。后来不胜其烦,关了密码登录,只用密钥了 |
 | 51 enrolls 2023-05-11 12:23:27 +08:00 `journalctl -t sshd` 看看失败的日志 `journalctl --disk-usage` 看看日志的硬盘占用 |
 | 52 lifanxi 2023-05-11 12:35:38 +08:00 我用 Port Knocking ,方便和安全平衡。 |
 | 53 Deplay 2023-05-11 12:38:06 +08:00 之前有一台,7 天 16 万次 |
 | 54 qbqbqbqb 2023-05-11 12:51:20 +08:00 @skyrim61 不支持 25519 的大多数是嵌入式的吧,比如 OpenWRT 官方发行版默认用 Dropbear SSH 服务端,只编译了 RSA 的支持,想要别的得自己编译。 正常的桌面 /服务器 Linux+OpenSSH 很少有不支持的。 |
 | 55 luxor 2023-05-11 12:59:02 +08:00 这些爆破攻击基本上都来自蠕虫,改端口是没用的,采用公钥认证即可保证安全。 |
| 56 qbqbqbqb 2023-05-11 13:03:41 +08:00 @Bingchunmoli 私钥随身带着本来就是一个伪需求,一般来说要想安全首先就得用固定的电脑远程登录服务器,随便用别人的电脑远程登录本身就不安全了。如果是用自己的一台服务器(跳板机)登录另一台的话也不必要传输私钥,可以用 agent forwarding 。 另外想要安全地随身带私钥也不是不可以,有 Yubikey 这种硬件 key 。 密码登录唯一的用处就是组织合规,毕竟公司的服务器肯定是统一管理登录权限,不可能让你注册自己的私钥免密码登录,就只能用密码。 如果是个人全权使用的场景,私钥登录绝大多数情况下优于密码登录。 |
 | 57 opentrade 2023-05-11 13:09:28 +08:00 看了一下我的 10+台服务,没被攻击,好失落 |
 | 58 strp 2023-05-11 13:14:32 +08:00 root@localhost:~# lastb |wc -l 145435 |
| 59 qbqbqbqb 2023-05-11 13:20:26 +08:00 @lwjef 改端口用处不大,v2ex 上就有一个“路由器六万高端口转发 3389”被爆破的例子,还有一个 9022 端口 ssh 树莓派因为用纯数字密码被爆破。而且如果服务器是红帽系( CentOS ,Fedora 等)又没关 SELinux 的话,不清楚情况贸然改端口可能会把自己锁在外面。 一般来说仅密钥登录就足够安全了。要隐藏端口还是得用 VPN ,所有内部服务只开放到内网和 VPN ,禁止公网直连。 |
 | 61 Robertwhite 2023-05-11 13:52:47 +08:00 我问一下,腾讯轻量云,我架了个 nginx 开放了 80 端口,部署一些页面,会有什么安全问题吗?没有密码,直接 url 能打开页面的那种 |
 | 62 bing1178 2023-05-11 13:56:07 +08:00 无所谓了 。一直 22 端口 允许 root 密码 密码足够强就行 注意 普通用户也不能有若密码 |
| 63 Bingchunmoli 2023-05-11 14:00:22 +08:00 via Android @qbqbqbqb 但是不可能每次都在家里的电脑上登陆的吧,总会有去公司去外出的时间的连接需求的 |
 | 64 deplivesb 2023-05-11 14:01:21 +08:00  看了眼我的,emmm |
 | 65 inhzus 2023-05-11 14:10:36 +08:00 楼主太可爱了= =每日一乐 |
 | 66 Georgedoe 2023-05-11 14:13:53 +08:00 1 这也算盛况么, 随便一个学过安全的学生用 Metasploit 不就一键攻击 |
 | 67 indexof 2023-05-11 14:14:44 +08:00 连我家里的机器对公网开放每天都有攻击。各种端口试过去。感觉像爬虫在全网扫描。 |
 | 68 bjzhush 2023-05-11 14:15:20 +08:00 我还以为多少呢,才 8 万次。。。 不知道互联网是黑暗丛林啊,8W 次爆破如果是在一小时内的还有点看头,这都属于日常活动了 切换隔端口,关闭密码登录即可 |
| 69 MFWT |
 | 71 hoofs 2023-05-11 15:53:46 +08:00 via Android -rw-rw---- 1 root utmp 1.9G 5 月 11 日 15:50 /var/log/btmp 运行了快两年的服务器,改高位端口+25519 密钥 |
 | 72 nightwitch 2023-05-11 15:58:49 +08:00 via Android @nznd 在 frp 上可以做鉴权 |
 | 73 rioufbi 2023-05-11 16:23:55 +08:00 SSH 换个端口,又可以继续清净快活几个月了。 |
 | 74 pusheax 2023-05-11 16:29:11 +08:00 1 mirai 在 16 年打瘫了半个美国的网络。就是很简单地通过爆破物联网设备的 SSH 和 Telnet ,控制大量设备发起 DDoS 攻击。 在那之后,作者自知玩的过火,把 mirai 的源代码公开,希望把水搅浑逃避水表(虽说最后还是被抓了)。 但这打开了潘多拉魔盒。一直以来,大家都知道公网上有很多弱口令的设备,但没想过数量有如此之大。 直到今天,mirai 的变种依旧是僵尸网络的主力之一。大部分这种 SSH 爆破的流量,都是这类僵尸网络在自动攻击,抓取设备。 |
 | 75 ivamp 2023-05-11 16:38:44 +08:00 @baobao1270 想问下你这个是怎么实现的?脚本可以分享下吗? |
 | 76 david99654 2023-05-11 17:25:44 +08:00 @nznd frp 有 log ,我就是根据 log 内容做了一个类似 fail2ban 的脚本 |
 | 77 des 2023-05-11 17:25:49 +08:00 我是是 BAN 了几个 IDC 的 IP 段,安静不少 |
 | 78 JoeoooLAI 2023-05-11 21:37:57 +08:00 fail2ban 我试过。。一个月 10w 。。。最后我把 ssh 端口关掉,要用才上去安全组打开。。 |
 | 79 wizardyhnr 2023-05-11 22:29:56 +08:00 fail2ban 规则设置连续 5 次错误尝试就永 ban 就完事了。 |
 | 80 huahsiung 2023-05-13 13:23:41 +08:00 sshd 也被爆破成筛子,因为一些原因必须要开密码,开了一个 sshesame 蜜罐,结果看日志,发现蜜罐都没有怎么爆破,还是在爆破 sshd 。nmap 一扫描,发现 sshd 会返回“SSH-2.0-OpenSSH_7.6”,而 sshesame 蜜罐会返回“SSH-2.0-sshesame”。m'd 蜜罐暴露了。然后把 sshd 的 ServerVersion 也改为“SSH-2.0-sshesame”,假装自己是 sshesame 蜜罐。之后流量下降 60% |
 | 81 FlashEcho 2023-05-18 12:32:26 +08:00 我的做法是只允许我本地的 ip ssh 过去,防止动态 ip 掩码留了最后 8 位,基本就没有问题了 |
 | 82 michael2016 2023-05-18 18:11:01 +08:00 没见过世面,多大点屁事儿,正常操作,ACL 、账号密码搞强壮一点问题不大,有钱的上堡垒机+零信任。 |
 | 83 cloverzrg2 2023-05-23 10:47:24 +08:00 我一般直接禁止密码登陆 echo 'PasswordAuthentication no' >> /etc/ssh/sshd_config |
| 84 cloverzrg2 2023-05-23 10:48:16 +08:00 @chesha1 #81 我这边宽带的动态 IP, 是整个 /32 都在变 |
| 85 FlashEcho 2023-05-23 11:01:20 +08:00 @cloverzrg2 你确定是整个 /32 都在变? IP 地址一共才 32 位啊 |
 | 86 HungryOrangeCat 2023-06-27 17:24:48 +08:00 还没我一天受到的攻击多 hhhc |
Select Language