吐槽一下全球全域端口扫描

利益

扫描程序不会累😩

不是能扫描到 10000+
而是 1 - 65525 扫 发送 HELLO 报文
然后根据返回的 banner 做匹配，识别运行的服务。 然后给 API 给黑客用。
所以不是每个黑客都是扫全网 1-65525 的
zoomeye、fofa、shodan 都是做这个的的

zui   fan   gan

@ywgx ?

@fiht 了解了

不是人为扫描，是蠕虫病毒的机动扫描。
蠕虫病毒的扩散速度和扫描量是以几何级别增长的。尤其“弱口令”蠕虫，无法有效限制其他病毒重复感染，导致一台肉鸡上往往跑着 N 个蠕虫日夜不停的扫描互联网。

以针对 445 端口的扫描为例，ms08-067 这个漏洞爆出来以后，从互联网到局域网，针对 445 端口的扫描和攻击数据包满天飞。
那么这些巨量的扫描行为是怎么产生的？是全球各地黑客 昼夜不停开着扫描器产生的吗？
利用 ms08-067 传播的蠕虫，比较有代表性的：国外的 conficker 蠕虫，在全球感染了约 1000 万台主机。国内的 扫荡波 蠕虫，感染了约 70 万台主机。
每一台被感染的僵尸主机，都会成为新的攻击源，昼夜不停的扫描互联网，继续传播自身。由此产生了巨量的扫描请求。与此相比，黑客手动扫描所占比例，几乎可以忽略不计。

我觉得这不算啥。之前在一个不知名 vps 代理商那里买 vps,买了没有立马改密码，第二天登不上了。

@t6attack 🐮🍺

@masker 还有这种操作

@zhouyut001 之前有台 vps 重装系统密码忘改了，然后第二天发现 vps 流量跑了 33T

就是有认为不会有人这么闲，所以就存在某些服务管理后台等等直接用默认密码或者弱口令，然后。。。。。

別人的肉機一大堆 , 不拿來掃拿來閒置? 現在好點 , 有的肉雞只被拿來挖礦 , 以前更瘋狂 , 利益使然 , 自己做好安全防護

习惯就好，公网环境就是这么恶劣。
所以很多小白从内网没中过毒时代就留下误区，觉得自己的安全防御很到位。然后买了某些公网服务器中毒了就开始甩锅给服务器提供商

现在的情况好多了，大家都是用云服务商，有云给你防护，90 年代拨号自建服务器的时候，基本上脱裤子给人家看，操作系统漏洞百出，自建 IDC 机房的时候，做了防护，你觉得万无一失，不知不觉就被脱库，现在大家看到的什么华住用户消息被泄露什么的，那都是这些数据不知道被倒了多少手，已经没有价值了，才扔出来的。我们能看到的，只是比较低级的罢了

你这想法和我最开始玩 vps 的时候的想法一样，想不通怎么会有人这么无聊。后来你就会明白，这其实就和邮件诈骗一样的，他们用程序自动扫描各种网站上的邮箱，自动发送邮件，当你收到邮件时你以为你被骗子盯上了，其实只是一个不眠不休的程序而已。他们的投入成本可以忽略不计，而一旦有个中招，基本就是赚了。

所以，你做好基本的安全措施就好了（换端口，禁 root 登陆，设置强密码或者用秘钥登陆）。

不知道 lz 用不用云。
我司大部分机器是内网，只有一个跳板机开了个 22，而且用安全组限制了来源 IP。
服务通过负载均衡器公开，负载均衡器是云的，开了 80 443，但不知道域名只能拿到 500 响应。
爱扫扫去。

分享一下 shodan 上 ssh 的扫描结果，而 shodan 的扫描只是全世界扫描的冰山一角。

哎 我看了我的 22 端口登陆日志……除了我自己还是我自己……