为什么有来自江苏的 IP 在连接我的 22 端口,

2014-07-14 17:56:33 +08:00
 hellojinjie
无意中发现一个江苏电信的IP在连接我的22端口

ubuntu@ip-******:~$ netstat -tan
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
-- omit --
tcp 0 0 172.31.31.236:22 222.186.15.138:6000 SYN_RECV
-- omit --

还有另外一个IP没有记录,也是江苏电信的。

他的端口是6000,这么小,肯定不是一个“人”在尝试连接我的服务器,很大可能是一个扫描程序在扫描。

大家有碰到过这样的情况吗?

我用的是 AWS EC2
4032 次点击
所在节点    问与答
17 条回复
vibbow
2014-07-14 19:11:38 +08:00
我服务器一天要被连几千次,淡定了。
vibbow
2014-07-14 19:12:11 +08:00
要是你淡定不了的话,就换端口。
vimutt
2014-07-14 19:14:55 +08:00
“身正不怕影子斜” 尽力做好安全工作 爱连便连。 不懂这些人对着一个vps起什么劲儿 练手还是处于什么目的呢
vimutt
2014-07-14 19:15:57 +08:00
我常用端口都改成w+以上的 愿意扫就扫吧
a2z
2014-07-14 19:29:54 +08:00
连个端口又没什么,我蜜罐每天被登进去放马放远控几百次
mongodb
2014-07-14 19:32:49 +08:00
别想太多。不被扫描才不正常。
如果你被扫描了不是你吸引了别人,以现在的扫描程序的速度和收集的网段来看,公网的IP不被扫描才显得奇怪,被扫描了就跟你走在大街上被人看了没两样。
Love4Taylor
2014-07-14 19:52:32 +08:00
我擦,和我同城的。。
hellojinjie
2014-07-14 20:27:43 +08:00
@vibbow
@vimutt
@a2z
@mongodb
@Love4Taylor Thank you 各位,那我就放心了,本来想开放几个端口的,现在还是算了吧,网络这么凶险。

话说上次我在360的网站卫士注册了一下,第二天就发现nginx log里全是各种的漏洞扫描,直接把我的网站给搞趴下了。
eslizn
2014-07-14 20:38:31 +08:00
扫描狗太厉害了,所以换端口+证书认证
66450146
2014-07-14 20:48:07 +08:00
配置好之后就把 22 从防火墙上面去掉吧,只开放用到了的端口
kmvan
2014-07-14 20:49:06 +08:00
好正常
hellojinjie
2014-07-14 20:56:55 +08:00
@eslizn 对的,所以我现在都不敢用密码登陆,直接禁用密码登陆功能,都用证书登陆
20150517
2014-07-14 23:00:16 +08:00
我的web服务器每天被一个ip扫上百遍类似于 index.php../etc/passwd这个文档,我想说,我的服务不是php好吗?
hellojinjie
2014-07-14 23:09:48 +08:00
@20150517 晕,笑死我了。
eslizn
2014-07-15 08:01:02 +08:00
@20150517 是那个nginx正则配置的漏洞吗?
20150517
2014-07-15 14:39:35 +08:00
@eslizn 不懂这是哪个漏洞,不过我是nginx
eslizn
2014-07-15 14:43:28 +08:00
@20150517 看错了...这个应该是webserver路径解析的漏洞

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/122599

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX