我家的ssh server被盯上了，反复尝试登录暴力破解，差点被黑

水木社区手机版

主题:我家的ssh server被盯上了，反复尝试登录暴力破解，差点被黑
47楼|kis2006|2021-11-05 08:53:38|展开
已经采取安全防护措施了。就是奇怪当天从外面连不上，晚上我回家，从内网也连不上ssh了。怀疑是被打爆了

【在 jdk140 的大作中提到: 】
:
: 总有人扫端口，看到22开着就试常见的用户名和密码。但是速度非常慢，除非你的用户名和密码是user/123456这种程度，否则对你的主机安全没有威胁。对于一般用户都不用禁止密码登录，猜到用户名的可能性几乎是0。如果非常担心这种，禁止root密码登录就行。

#发自zSMTH@RMX2205
--
FROM 125.38.118.*
54楼|kis2006|2021-11-05 09:21:20|展开
虽说key登录，没被黑进来，但实际上形成了拒绝服务攻击

【在 bxdx 的大作中提到: 】
:
: key登录应该非常安全了，我有一台服务器，不停的有国内外IP尝试密码，几年了还没搞进来
: 【在 kis2006 的大作中提到: 】
: : 前两天从外面连家里的ssh server，发现ssh连不上，但端口能通。回家之后查日志，发现有2个国外IP大量登录尝试。
: :

#发自zSMTH@RMX2205
--
FROM 125.38.118.*
55楼|kis2006|2021-11-05 09:30:31|展开
我同时也配了wireguard，之前遇到过问题，断开连接再拨不上，重启光猫换ip才能登上。为了防止单点失效，才保留留的ssh。

ddns也在用，只是在N1盒子这边用的。主要是公司的网太烂。我是手机开热点再连回去，ddns生效需要一段时间，N1那边还得写脚本监控。复杂了容易出问题
【在 leeyc 的大作中提到: 】
:
: 其实，要是运营商没封udp端口
: 你用wireguard搭个内网多好
:
: 【在 kis2006 (Dr.Web) 的大作中提到: 】

#发自zSMTH@RMX2205
--
FROM 125.38.118.*
60楼|kis2006|2021-11-05 10:03:06|展开
没用过wireguard多开，需要多份wireguard配置文件吧，也是用wg-quick来启动吗

我家的联通宽带烽火光猫拨号没有IPv6，改桥接还会掉速，囧

【在 leeyc (巡山小校) 的大作中提到: 】
: 多开几个wireguard，总有一个能连上嘛。
: 或者，你换IPv6试试
--
FROM 125.38.118.*
61楼|kis2006|2021-11-05 10:07:32|展开
我后来设置的，错3次封IP 1年。目前看还好
【在 rocsong (rocsong) 的大作中提到: 】
: 我机器的端口在公网，设了自动封锁，试错5次就永久封这个ip
--
FROM 125.38.118.*
62楼|kis2006|2021-11-05 10:08:12|展开
是的，开了端口就有被扫描的风险。看日志登录记录，大概1秒10次。
大致算一下，10次*24小时*3600秒，大约86万次。不知道是N1性能的问题，还是armbian系统或者sshd服务的问题，反正最后是造成拒绝服务了。

吃一堑长一智，开了防护，目前看是消停点了

Chain INPUT (policy ACCEPT 510K packets, 271M bytes)
pkts bytes target     prot opt in     out     source               destination
43160 2590K DROP       all  --  *      *       157.230.110.5        0.0.0.0/0
3505  210K DROP       all  --  *      *       159.223.21.35        0.0.0.0/0
    0     0 DROP       all  --  *      *       46.101.109.237       0.0.0.0/0
12317  690K DROP       all  --  *      *       143.198.173.68       0.0.0.0/0

【在 laoshifu (老师傅) 的大作中提到: 】
: 从来都不理会这种玩应。开了证书登陆，随便它搞
: 除非你不开服务，否则人家肯定会扫描到特定的端口，用协议嗅探工具判定是ssh服务，
: 然后疯狂攻击。如果你上网的ip段比较固定的话，可以尝试加入白名单。
: ...................
--
FROM 125.38.118.*
67楼|kis2006|2021-11-05 10:47:33|展开
嗯，这回涨经验了。之前没意识到，非默认端口+key登录还是有风险

我也配了wireguard，只是之前遇到过拨不上的问题，所以才留了ssh，防止单点失效

【在 KeepHope (Walk towards the better future) 的大作中提到: 】
: 呃……只要对公网开着ssh，不管哪个端口，开fail2ban是标准操作
: 否则就设定家用虚拟私有网，所有回家的访问都从这一个口进来，也可以
--
FROM 125.38.118.*
72楼|kis2006|2021-11-05 11:41:25|展开
黑客，黑产，挖矿，肉鸡

【在 navyyang @ [DigiHome] 的大作中提到: 】
:
: 这些没事扫描别人尝试破解的都是做什么的？
:
: NAS上天天一堆这种。。。搞不懂

#发自zSMTH@RMX2205
--
FROM 125.38.118.*
73楼|kis2006|2021-11-05 11:43:09|展开
我遇到的这4个ip是oceandigital的，万幸不是一堆ip

【在 doitmy @ [DigiHome] 的大作中提到: 】
:
: 如果他用amazon cloud，那可以有一片IP，一堆
: 【在 kis2006 的大作中提到: 】
: : 前两天从外面连家里的ssh server，发现ssh连不上，但端口能通。回家之后查日志，发现有2个国外IP大量登录尝试。
: :

#发自zSMTH@RMX2205
--
FROM 125.38.118.*
74楼|kis2006|2021-11-05 11:10:14|展开
之前遇到过单点，挂了之后连不上，只好等回家才能弄，有时候在外地就很不方便了。
你说的"敲门"，我听说过。只是公司的网络不太好，经常丢包，担心开了之后敲不开。
我用的ddns，开了denyhosts封了4个IP，目前看是消停了，至少没有换了成千上万个源IP来试探。安全性和易用性是一对矛盾。

【在 KeepHope (Walk towards the better future) 的大作中提到: 】
: 防止单点失效是对的，我也是两路回家
: 如果不是frp而是ddns，那么加denyHosts是很好的选择
: 如果是frp，容易把自己一起ban掉，那就最好只开key登录，剩下的随便它探测去
: ...................
--
FROM 125.38.118.*