一个中文小网站经常有俄罗斯之类的国外 IP，他们是不是在扫描我

网上全网段乱扫的多的很啊，像我一台个人用无网站的腾讯云机器，三天时间有一千五百多的 IP 尝试登录 ssh....

乱扫 +1，下次你发现就会变欧洲了

不用感到奇怪，后面 xjb 扫你的还多着呢，很多都是自动扫描程序

自动扫的多了去了
起个 nginx，刷 access_log，一片一片的扫漏洞的
SSH 保持 22 不变，放开端口，刷日志，试密码的一片一片的

@wtks1 #1 所以我开服务器第一件事就是改 SSH 端口

@boris1993 因为是个人服务器，密码也算是比较结实，懒得改了，起了个脚本，循环读取 lastb 中登录失败的 ip，自动加防火墙

@wtks1 #6 你造了一个 fail2ban 的轮子啊。。

公网环境一向这么恶劣，各种扫描器横行，尤其是云时代，idc 网段更加便利了扫描器工作

@boris1993 直接用私钥登录，把密码选项关了

于是我搞了个蜜罐收集 password🙈

@inframe 虽然有点跑楼主的题，但我还想问问，ssh 不是基于挑战的吗？

@CEBBCAT #11 蜜罐直接 GitHub 上下载个开源的就好了

任何一个暴漏在公网的服务都会经受这些。对于微型网站，大部分是来自蠕虫病毒的机动扫描。而不是人为扫描。
如果你的宽带有公网 IP，把本机相应端口映射出去，或者干脆把本机 DMZ 出去。
然后
nc.exe -vv -L -p 1433>C:\1433.log
nc.exe -vv -L -p 22>C:\22.log
nc.exe -vv -L -p 3389>C:\3389.log
。。。。。
基本上两个小时内就能捕获到攻击数据包了。这不是黑客在扫你，而是蠕虫病毒在传播自身。

@t6attack 家用宽带的这些常用端口都被运营商封了吧

我的博客还天天有英文、俄文的垃圾评论呢😂

@aa6563679 至少 21、22、3389 这些都是没有被运营商封掉的