家中的 Linux 服务器上的 ssh 被爆破未遂，但攻击者的 ip 是个内网地址。

2019-02-14 11:49:33 +08:00

catalina

ssh 密码被暴力破解未遂我是已经经历了好久了，但攻击源是内网地址我还真是第一次见，我家的路由器 WAN 口获得的是公网地址，而不是 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 之一。

这到底是怎么回事？我们家的人除了我就没什么人玩电脑，更别提暴力破解了。而且我们家的内网网段还是 192.168.1.0/24，没有 10.170.166.3 这样的。。。

附上#last -f btmp | head -n 40 的输出：

https://s2.ax1x.com/2019/02/14/kB1FG6.png

（顺带一提：这台服务器的 ssh 端口做了端口映射到公网上去，因为我要用 sftp 接收一些文件）

8254 次点击

所在节点

Linux

44 条回复

taianrc

2019-02-14 12:23:49 +08:00

10.段是运营商使用的内网段，是运营商大局域网里有台中毒电脑向外感染。

ysc3839

2019-02-14 12:28:09 +08:00

traceroute 这个 IP 地址看看是怎么走的？

davie

2019-02-14 12:29:20 +08:00

你的 wan 口地址是多少？局域网分配的地址是多少？攻击地址是多少？

file0X0088

2019-02-14 12:36:20 +08:00

你的 wan 应该获取的只是局域网 IP 而不是你说的公网 IP，你在确认一次看看

JayHawel

2019-02-14 12:40:22 +08:00

码住，楼主有什么新的分析进展没有，倒是吱个声啊。

julyclyde

2019-02-14 12:50:51 +08:00

这个倒不奇怪
公网上并不是不许有私网 IP 的

gesse

2019-02-14 12:53:54 +08:00

你们小区的有电脑中毒了吧

你 apt-get/yum install 个 fail2ban 解决暴力破解这类的困扰

tomychen

2019-02-14 13:00:47 +08:00

难道你奇怪的点不应该是
10.x 怎么跨路由到 192.x?
那能做这个路由的点在哪？

disk

2019-02-14 13:36:10 +08:00

@tomychen 他说了 ssh 有做端口映射，猜测路由点应该就在家用网关上面几层。

TestSmirk

2019-02-14 13:45:54 +08:00

小区就算用 10.x.x.1 难道路由不做内网隔离吗.
用的什么穿透啊.有的穿透会建立 vpn.

catalina

2019-02-14 15:25:27 +08:00

@davie
WAN IP 125.116.110.*
家庭网关 TP-LINK 路由器 192.168.1.1 192.168.1.0/24
Debian 虚拟机的宿主计算机(NAT 方式端口映射) 192.168.1.2

catalina

2019-02-14 15:27:33 +08:00

@gesse 倒是没必要，因为这台 linux 里也没东西。。。

catalina

2019-02-14 15:29:08 +08:00

@disk 应该是了，ping 到那 ping 得通，TTL60，ping 网关 TTL 是 64

catalina

2019-02-14 15:29:55 +08:00

@file0X0088 你把 125.116.110.*叫局域网 ip ？

catalina

2019-02-14 15:30:42 +08:00

承蒙各位好意，我先装个 nmap 扫扫看

catalina

2019-02-14 16:05:03 +08:00

。。。。。。
。。。。。。
。。。。。。
（请先允许我用 3 行句号来表示我此时的心情）
宿主机 nmap 发现有个端口好像开着 Web 服务器，进去一看，是个机顶盒。。。
https://s2.ax1x.com/2019/02/14/kBW8LF.png
大概率是烽火的 HG680 有什么漏洞被攻陷了、或者主人自己破解了这货然后到处煽风点火。

catalina

2019-02-14 17:45:16 +08:00

更新：
这个盒子安全性不高，它开着 adb over network，而且一句 adb connect 下去它就把自己的 root shell 交了。。。
https://s2.ax1x.com/2019/02/14/kBOB4K.png
还好意思说自己的设备名是 godbox(上帝之盒)。。。龟龟，烽火网络就是个弟弟。

flynaj

2019-02-14 17:53:59 +08:00

tracert 10.170.166.3 看一下

t6attack

2019-02-14 18:03:08 +08:00

公网上超过 90%的 ssh 弱口令扫描行为，不是来自真人，而是来自蠕虫病毒。
八成是内网有 ssh 弱口令蠕虫。很多 ssh 弱口令蠕虫专门攻击机顶盒、摄像头等物联网设备，因为这些设备默认密码是固定的。

tomychen

2019-02-14 18:09:59 +08:00

@disk 我还是很好奇，这条 10 的路由表是怎么被添加上的

第 1 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/534858

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.