爆破 SSH 的还会选择夜里或中午休息的时间段

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 789 天前的主题，其中的信息可能已经有所发展或是发生改变。

把魔改过的 openwrt 的 dropbear ssh 暴露到公网了, 下面是记录的爆破日志魔改过的 dropbear 还没到认证环节就把 socket 关闭了受限于 openwrt 的系统日志长度，如下只是部分日志:

东八区时间

Tue Oct 31 04:26:06 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 04:29:19 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 04:32:29 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 04:35:32 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 04:38:53 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 04:42:00 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 04:45:10 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 04:48:13 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 04:51:20 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 04:54:35 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 04:57:35 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 05:00:42 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 05:03:45 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 05:07:08 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 05:10:19 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 07:25:26 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 07:28:54 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 07:32:35 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 07:35:53 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 07:39:26 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 07:42:45 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 07:45:54 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 07:49:08 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 07:52:22 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 07:55:58 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 07:59:33 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 08:03:02 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 08:06:28 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 08:09:47 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 12:24:47 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 12:28:18 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 12:31:57 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 12:35:28 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 12:38:56 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 12:42:33 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 12:45:49 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 12:49:15 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 12:52:45 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 12:56:00 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 12:59:16 2023 authpriv.warn dropbear[845]: block ABCD

Tue Oct 31 13:02:34 2023 authpriv.warn dropbear[845]: block ABCD

Wed Nov 1 12:12:37 2023 authpriv.warn dropbear[845]: block ABCD

Wed Nov 1 12:16:19 2023 authpriv.warn dropbear[845]: block ABCD

Wed Nov 1 12:19:38 2023 authpriv.warn dropbear[845]: block ABCD

Wed Nov 1 12:22:50 2023 authpriv.warn dropbear[845]: block ABCD

Wed Nov 1 12:26:10 2023 authpriv.warn dropbear[845]: block ABCD

Wed Nov 1 12:29:31 2023 authpriv.warn dropbear[845]: block ABCD

Wed Nov 1 12:32:52 2023 authpriv.warn dropbear[845]: block ABCD

Wed Nov 1 12:36:09 2023 authpriv.warn dropbear[845]: block ABCD

Wed Nov 1 12:39:53 2023 authpriv.warn dropbear[845]: block ABCD

Wed Nov 1 12:43:17 2023 authpriv.warn dropbear[845]: block ABCD

Wed Nov 1 12:46:45 2023 authpriv.warn dropbear[845]: block ABCD

6 条回复

fiht

2023-11-01 13:49:42 +08:00

一般都是肉鸡 24*7 扫的，不分时间段

puttsync0f

2023-11-01 14:21:27 +08:00

又不是定点 DDoS 攻击，还分什么时间段

tool2d

2023-11-01 14:37:05 +08:00

我这里 https ssl 流血攻击一周来一次，因为牵涉到 ssl 握手失败，在 log 里特别明显，对方 IP 也是固定的。

感觉属于全 ip4 段扫描，一周扫一次全网，间隔时间都差不多是固定的。

tool2d

2023-11-01 14:46:46 +08:00

还有各种奇葩攻击，比如啥都不干，光发起 tcp 端口，几千个请求迅速占满 bind 入口。（想占满端口？）

还有想开启 ssl 压缩模式，扔 gzip 炸弹到服务器的。

还有用../../proc/想访问我 proc 目录的，当然最多的还属 php 框架，动不动就来访问 setup.php/password.php 。以及 UA 为 hello world 的。

idontnowhat2say

2023-11-01 14:47:29 +08:00 via iPhone

最好选在下班高峰点，运维老哥还堵在路上...

x86

2023-11-01 14:49:19 +08:00

都是自动化的，什么时候扫到你看天