请教下大佬，我这是被盯上准备破我服务器了吗

@littlewing
@peasant
我前几天弄了一个 frp 内网穿透的，买的别人的，会跟这个有关系吗？ frp 有映射到 ssh 的端口，但是 frp 只给了我 5 个端口，我看日志的端口五花八门，应该和 frp 没关系吧？

我服务器前几天设置了弱密码，结果就过了两天看视频画质突然降了，CPU 给干到了 100%，然后服务商还发信息警告了。本是一小白，查了一天多才发现问题所在，好多 IP 通过我的 ssh 端口传输数据，知道自己服务器被扫了，修改成强密码，然后安装了 fail2ban ，把这些尝试登录的都给关进小黑屋了。另我的另一台服务器开了 2 年了，使用的是强密码，被扫了至少几十万次吧，也一直好好的。

@mikewang 对对，大佬！我前几天弄过 frp ，那这个要怎么破

@mawen0726 肯定和 frp 有关系啊，公网 ssh 端口暴露就是这样的。关掉你再看看。

@mawen0726 FRP 为什么要买, 而不自己搭. 你这是连底裤都交了. 现在搞个轻量云服务器装个 FRP 再简单不过了.

@mikewang 已经把 ssh 端口调高了，把 frp 映射原本 ssh 的 22 端口取消掉了。大佬可以给点关键词我搜索一下，怎么利用这个 frp 模拟在本地登录 ssh 吗，因为我看这个端口也是五花八门的

@lujiaosama 当时不太懂这个技术，这就准备自己弄一个了，自己本身也确实有一个腾讯云的服务器

这很正常，上公私钥搞定

frp 用 stcp

不是被盯上了，是互联网中有很多僵尸服务器，在不间断的扫描 ssh 端口，发现一个 ssh 服务就会去暴力破解一下。如果用的密钥登陆，一般不用怕，如果嫌烦就用前面提到的 fail2ban

多谢提醒，看到你的帖子突然想起来自己家里的服务器。安装系统的时候建了个用户，用户名仅有 3 个字母，密码高达 8 位，单全是 8 ，并且密码登录没关，就这样相当于裸奔跑了一年半。昨天下午已经把当时安装系统的时候建的用户给删了。tail -f 看登录失败日志，发现几乎 3 秒一次，root 用户我是关了密码登录的。。一身冷汗

很正常啦，fail2ban+ufw 一开后，ufw status 一长串 reject 封掉的 IP 地址。有闲心就去查 IP 的运营商，给他们 abuse report 。

基本上 fail2ban ，禁止密码登录就可以放心了。如果还是不放心可以像我一样用 pam acript 写一个程序，每次 ssh 登录就会给我手机推送用户和 IP 地址。

在手机上打错字了 T_T

是 pam script： https://github.com/jeroennijhof/pam_script

auth 成功后会调用指定的程式/脚本，通过环境变量传入 rhost 等信息

ssh 不监听 ipv6 呢

@kernelerror 昨天去查了下资料，高端口登录 ssh+只允许公钥登录，应该是万无一失了，我现在就是采取这样的方案

@xhatt510 你的运气真的好~我之前好像允许密码访问，6 位中英结合的密码被爆了

@Paulownia 网络防护方面是个小白，看到这种短期之类这么高访问量尝试突破实在害怕

@benjaminliangcom 我看了下是能记录登陆人的 ipv6 的，这个不监听怎么理解哦

@mawen0726 不用怕，找个 vps 去观察，从你开放 22 端口的时间算起，不到半个小时就能有不少 ssh 尝试记录。如果你有兴趣研究，可以搭建一个 ssh 蜜罐，去收集爆破的口令和用户名，不过话说收集到的大多数都是比较常见的口令。

@Paulownia 谢谢大佬，我去搜索一下这些相关信息~