服务器被爆破了

2022-06-12 09:45:33 +08:00
 AlexPUBLIC

这是一台 NAS 服务器,因为运营商很好,所以单独给配了一个公网 IP ,然后下午闲来无事看了一眼日志: 一堆爆棚密码的请求,而且是尝试一次换一次 ip ,根本没有收到任何报警 [img]https://i.imgur.com/BHR8AZF.png[/img] 下午立刻采取措施,ban 掉非本国的 IP ,晚上看依旧不少垃圾请求,于是,把 ip 直接解析到 127 。0 。0 。1 ,路由器 wan 侧请求全部 drop ,手法过于暴力,不知道大家有没有温柔一点的办法

7205 次点击
所在节点    服务器
34 条回复
tulongtou
2022-06-12 09:50:08 +08:00
关掉密码登录, 只允许密钥登录,任他爆破又能怎样
eason1874
2022-06-12 09:54:19 +08:00
每小时几次,每次是不同 IP 。。。这不是爆破,这就是日常漏洞扫描,在融资报告里叫网络资产测绘

网络上的扫描机器远不止几十个,一直都会有的。改掉端口,只允许密钥登录,就问题不大
hdp5252
2022-06-12 09:57:59 +08:00
一直密钥登录,我感觉还方便,密钥放 Dropbox 网盘,
每次登录还不用输密码
bs10081
2022-06-12 09:58:23 +08:00
我的做法是禁用了 admin ,然後管理員帳號開啟了 2FA ,這樣就算密碼被破,理論上也進不來。

@tulongtou 群暉好像沒有密鑰登陸
AlexPUBLIC
2022-06-12 10:00:02 +08:00
@tulongtou 其实根本不是 ssh ,是一个非标的 https ,也没有 admin 这个账号,只是它不停请求,硬盘根本无法休眠

@eason1874 开公网 1 年多了,这是本月 7 号才开始有的,而且我看了 ip 报告,好多都是北美的家宽,更倾向于僵尸网络
AlexPUBLIC
2022-06-12 10:01:29 +08:00
@bs10081 我也没有开 admin ,关键是群晖 fail2ban 根本不提示这种情况,也不 ban ip ,不是心血来潮看日志根本发现不了
noqwerty
2022-06-12 10:02:30 +08:00
暴露在公网的机器都是这样的,可以直接 fail2ban ,或者把机器放在 wireguard 后面
elfive
2022-06-12 10:04:53 +08:00
@bs10081 开启用户家目录,新建.ssh ,放入密钥,完成
makelove
2022-06-12 10:10:48 +08:00
瞎担心,只要密码是随机长密码这又有什么关系呢?穷举到宇宙尽头都不可能被爆
bs10081
2022-06-12 10:10:54 +08:00
@AlexPUBLIC #6 在這裡似乎是可以調整?不過我沒遇過被掃描的問題,我的 NAS 在內網,由一台學校的 VM 來進行流量中轉。

bs10081
2022-06-12 10:12:22 +08:00
@elfive #8 群暉也可以這樣操作嘛?但是沒有開放公網 SSH 連線是不是就沒必要用密鑰了?畢竟平常都是通過網頁進入的 DSM 。
elfive
2022-06-12 10:17:40 +08:00
@bs10081 DSM 外网的端口肯定不能是默认的 5000 。
而且建议不要用 UPNP 做端口转发,等有需要连接 DSM 的时候,再打开转发。
elfive
2022-06-12 10:20:15 +08:00
@AlexPUBLIC @bs10081
你得设置好,比如我的就是 999999 分钟内尝试 2 次就封。设置的时间太短,它只要等时间一过,又可以再尝试登陆了,这样就可以避免被封了。
bs10081
2022-06-12 10:26:15 +08:00
@elfive #12 我的 DSM 流量只有從 VM 的 443 進來,然後再轉發到群暉的,感覺問題不大?
@elfive #13 了解你說的。
hanghang
2022-06-12 10:43:15 +08:00
在路由器裡把常用的端口設定端口轉發就好。我之前用威聯通的時候也是用得 UPnP ,也會有樓主這樣的情況。
AlexPUBLIC
2022-06-12 10:53:50 +08:00
@bs10081
@elfive
我也是这么设置的,而且我 admin 账户是 disable 的,但是这些 ip 并没有被封锁,甚至封锁记录都没有
@makelove
硬盘频繁启动呀,炒豆子,就算不影响寿命,听着也烦的
Qetesh
2022-06-12 11:57:36 +08:00
两种方式。第一种设置一个域名,通过设置-登陆门户-高级-反向代理,域名通过才转发到控制台。第二种使用 vpn 才能访问控制台,自带有 vpn ,也推荐 wireguard 、tailscale 、vmess 代理这种都是全平台
showgood163
2022-06-12 12:08:28 +08:00
这些扫描多是针对 IPV4 地址的。

服务端只监听 IPV6 ,基本没人扫的到 IP ,更不用谈登录了。

我之前也是用 fail2ban 来控制访问的。在只开 IPV6 之后,看不到除我自己外的登录尝试记录。
huaes
2022-06-12 12:40:01 +08:00
开 IPV6 DDNS 就行了,V4 能不用就不用,没准速度还能更快
jason94
2022-06-12 12:40:27 +08:00
我之前也是老被人爆破,开启 2 步骤校验,再也没有了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/859022

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX