我家的ssh server被盯上了，反复尝试登录暴力破解，差点被黑

水木社区手机版

主题:我家的ssh server被盯上了，反复尝试登录暴力破解，差点被黑
50楼|vkisiter|2021-11-05 09:05:15|只看此ID
不考虑放几个蜜罐给扫描的人一些惊喜？
--
FROM 223.223.190.*
51楼|san1|2021-11-05 09:06:51|只看此ID
好厉害
--
FROM 39.144.39.*
52楼|pyer|2021-11-05 09:07:19|只看此ID
你有公网ip，就可以直接暴露企业微信回调端口到公网，然后在nodered流里根据收到的文本，执行内网命令开关ssh端口。其实我只要部署两个frpc也可以不要mqtt，一个frpc暴露企业微信端口，一个随用随开，我现在企业微信部署在公网，指令走mqtt中转到内网，用的挺好懒得改了。

【在 xiuhuwang 的大作中提到: 】
: 好的
: mqtt有公网ip怎么不需要了啊
: 他需要服务端么？
: ...................
--
FROM 112.97.49.*
53楼|dpm|2021-11-05 09:12:53|只看此ID
禁掉密码，用sshkey登录啊
【在 kis2006 的大作中提到: 】
: 前两天从外面连家里的ssh server，发现ssh连不上，但端口能通。回家之后查日志，发现有2个国外IP大量登录尝试。
: 我是在armbian上起的ssh服务，默认22端口也改了，禁用密码登录，只开启key登录。运行了小1年。万幸是没黑进来，但是反复尝试登录暴力破解，把ssh服务弄挂了。如果不是这次ssh服务器挂了，平时哪会想起来看日志。
: 马上装了个denyhosts防护脚本，并且禁用root账号ssh登录。今天上午又来一个IP，被自动封掉了。
: ...................
--
FROM 119.8.243.204
54楼|kis2006|2021-11-05 09:21:20|只看此ID
虽说key登录，没被黑进来，但实际上形成了拒绝服务攻击

【在 bxdx 的大作中提到: 】
:
: key登录应该非常安全了，我有一台服务器，不停的有国内外IP尝试密码，几年了还没搞进来
: 【在 kis2006 的大作中提到: 】
: : 前两天从外面连家里的ssh server，发现ssh连不上，但端口能通。回家之后查日志，发现有2个国外IP大量登录尝试。
: :

#发自zSMTH@RMX2205
--
FROM 125.38.118.*
55楼|kis2006|2021-11-05 09:30:31|只看此ID
我同时也配了wireguard，之前遇到过问题，断开连接再拨不上，重启光猫换ip才能登上。为了防止单点失效，才保留留的ssh。

ddns也在用，只是在N1盒子这边用的。主要是公司的网太烂。我是手机开热点再连回去，ddns生效需要一段时间，N1那边还得写脚本监控。复杂了容易出问题
【在 leeyc 的大作中提到: 】
:
: 其实，要是运营商没封udp端口
: 你用wireguard搭个内网多好
:
: 【在 kis2006 (Dr.Web) 的大作中提到: 】

#发自zSMTH@RMX2205
--
FROM 125.38.118.*
56楼|rocsong|2021-11-05 09:32:28|只看此ID
我机器的端口在公网，设了自动封锁，试错5次就永久封这个ip

【在 kis2006 (Dr.Web) 的大作中提到: 】
: 要看是不是把ssh端口映射到公网了
: --来自微水木3.5.11
--
FROM 123.118.2.*
57楼|omelet|2021-11-05 09:36:03|只看此ID
这个是怎么操作的？

【在 pyer 的大作中提到: 】
: 随用随开啊，我的N1要登录的时候就微信发消息启动frp，然后就可以穿回去了，10分钟后自动关闭，也可以选择手动关闭。
--
FROM 114.249.197.*
58楼|leeyc|2021-11-05 09:45:08|只看此ID
多开几个wireguard，总有一个能连上嘛。
或者，你换IPv6试试

【在 kis2006 (Dr.Web) 的大作中提到: 】
: 我同时也配了wireguard，之前遇到过问题，断开连接再拨不上，重启光猫换ip才能登上。为了防止单点失效，才保留留的ssh。
: ddns也在用，只是在N1盒子这边用的。主要是公司的网太烂。我是手机开热点再连回去，ddns生效需要一段时间，N1那边还得写脚本监控。复杂了容易出问题
: #发自zSMTH@RMX2205
: ...................
--
FROM 202.98.17.*
59楼|laoshifu|2021-11-05 10:00:12|只看此ID
从来都不理会这种玩应。开了证书登陆，随便它搞

除非你不开服务，否则人家肯定会扫描到特定的端口，用协议嗅探工具判定是ssh服务，
然后疯狂攻击。如果你上网的ip段比较固定的话，可以尝试加入白名单。

【在 kis2006 (Dr.Web) 的大作中提到: 】
: 前两天从外面连家里的ssh server，发现ssh连不上，但端口能通。回家之后查日志，发现有2个国外IP大量登录尝试。
: 我是在armbian上起的ssh服务，默认22端口也改了，禁用密码登录，只开启key登录。运行了小1年。万幸是没黑进来，但是反复尝试登录暴力破解，把ssh服务弄挂了。如果不是这次ssh服务器挂了，平时哪会想起来看日志。
: 马上装了个denyhosts防护脚本，并且禁用root账号ssh登录。今天上午又来一个IP，被自动封掉了。
: ...................
--
FROM 113.233.42.*