通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
› DigitalOcean - SSD Cloud Servers
不看不知道,一看吓一跳啊,DO 5 刀的 server 从创建开始就一直受到 SSH 攻击
cbsw · 2014-11-02 18:42:38 +08:00 · 2847 次点击这是一个创建于 3466 天前的主题,其中的信息可能已经有所发展或是发生改变。
平时也不干啥,主要搭个梯子,挂个博客,偶尔会在上面测试一下自己写的小网站,所以平时也没怎么管理维护。今天心血来潮去查看了一下日志 journalctl ,尼玛,全部被 SSH 攻击塞满了,从今年5月份到现在有 2249190 行日志了,几乎全部都是 pam_tally(sshd:auth): Tally overflowed for user root, authentication failure 之类的日志,有同一个 IP 尝试各种端口和密码的,还有尝试以非 root 用户登录的
各位V友难道都是只通过 ssh-key 访问 VPS 吗?这样有时需要在其它电脑上登录一下 VPS 就很不方便啊
各位V友难道都是只通过 ssh-key 访问 VPS 吗?这样有时需要在其它电脑上登录一下 VPS 就很不方便啊
 |
1
wzxjohn 2014-11-02 18:46:46 +08:00 via iPhone
装fail2ban或者denyhosts吧。太正常了。。。
我的vps如果把denyhosts的邮件汇报打开那我的邮箱就要爆炸了。 |
|
2
wzxjohn 2014-11-02 18:47:15 +08:00 via iPhone
顺便一说与DO无关,哪的机器都一样。
|
 |
4
liuyi_beta 2014-11-02 18:48:38 +08:00
基本上只要开了22端口,立马就有各种猜口令的。建议楼主改一下ssh server的默认端口,改到一个不常见的高端口就好了。
|
 |
5
belin520 2014-11-02 18:50:03 +08:00
改端口、禁止root、禁止密码走公钥登录
|
 |
6
zlbruce 2014-11-02 18:50:43 +08:00 via iPhone
我已经换成key登录了
|
 |
7
anyfc 2014-11-02 18:55:24 +08:00
早就换成key登录了
|
 |
8
blijf 2014-11-02 18:55:53 +08:00 via Android
密码再屌安全防御再好不如换个端口O_o
|
 |
9
nealfeng 2014-11-02 18:57:38 +08:00
不看不知道,一看吓一条,我的vps竟然也有人试ssh的root密码,看日志里的ip是122.225.97.81,竟然是国内的ip。。。就在刚才18:33分开始,持续了3分钟。。。
|
 |
10
cbsw OP @liuyi_beta @blijf 都是尝试其它端口访问的,22 端口倒没看到
|
 |
11
jakwings 2014-11-02 19:02:16 +08:00
太正常了。Wordpress 都有无差别攻击,才不管你有没有安装。不用 key 也可以啊,禁用 root 登录,起个奇葩点的用户名,基本上扫不到。
|
 |
12
hjc4869 2014-11-02 19:06:19 +08:00 via iPhone
只监听内网,连ssh前先连vpn。
|
|
13
anyfc 2014-11-02 19:09:00 +08:00
@nealfeng 刚看了azureuser上搭建的vps,发现122.225.97.94这个ip一直的尝试ssh登陆。。。难道是同一个工作室的?
|
 |
14
lsylsy2 2014-11-02 19:10:29 +08:00
@anyfc 您查询的IP: [122.225.97.94]IP详细地址: [中国浙江省湖州市电信]
要么是肉鸡,要么是某个管的不严的小IDC |
 |
16
Gamon 2014-11-02 19:15:39 +08:00
不看不知道,一看吓一跳。。刚刚去看下我的,N条记录·····
|
 |
17
lenovo 2014-11-02 19:22:28 +08:00
192.126.120.74 我的日志全是这个IP
|
|
18
lenovo 2014-11-02 19:38:52 +08:00
把全部auth.log拉下来看了一下,居然有将近250个IP记录
1.34.156.193 1.84.152.163 1.93.29.150 1.93.30.194 1.93.34.221 1.93.34.233 1.93.34.237 1.93.129.93 14.161.6.70 23.100.8.140 23.100.58.8 23.102.177.146 23.239.17.35 23.253.64.125 31.222.158.15 36.44.88.167 36.44.91.115 36.44.93.74 36.44.95.128 36.45.172.219 36.46.40.152 36.46.210.147 41.231.53.25 42.62.17.250 46.99.139.34 50.30.32.19 58.18.172.171 58.68.151.25 58.241.61.162 59.53.94.9 60.173.9.247 60.173.10.177 60.173.26.53 60.190.71.52 60.190.108.43 60.211.213.66 61.147.80.6 61.160.213.180 61.160.247.180 61.166.189.69 61.174.50.134 61.174.51.212 61.174.51.214 61.174.51.215 61.174.51.218 61.174.51.220 61.174.51.223 61.174.51.224 61.174.51.225 61.234.104.167 61.234.146.22 62.75.146.48 62.146.32.41 62.210.84.17 66.255.131.164 74.62.75.163 75.148.216.82 76.72.170.167 80.82.64.177 80.233.141.226 82.116.29.10 82.213.78.2 82.221.105.6 85.10.198.165 85.25.43.94 85.92.73.16 87.106.21.63 88.135.1.99 88.198.21.2 91.103.118.63 91.184.22.180 91.204.122.181 91.220.131.33 93.50.186.75 93.174.93.116 93.183.204.25 94.102.49.168 95.142.163.236 95.183.244.244 103.23.244.22 103.241.144.197 104.130.132.166 104.131.21.21 104.131.69.131 104.131.119.141 104.131.181.240 104.131.187.53 104.131.188.75 107.150.6.29 108.64.58.79 112.216.92.44 113.107.233.165 113.142.37.210 113.200.114.230 114.108.175.149 115.29.211.99 115.239.248.85 116.113.96.171 117.21.173.179 117.22.185.49 117.27.158.69 117.27.158.71 117.27.158.72 117.27.158.76 118.98.43.33 118.244.165.112 119.147.216.123 122.70.133.245 122.225.36.132 122.225.97.66 122.225.97.71 122.225.97.75 122.225.97.77 122.225.97.78 122.225.97.79 122.225.97.82 122.225.97.83 122.225.97.85 122.225.97.88 122.225.97.103 122.225.97.104 122.225.97.105 122.225.97.107 122.225.97.108 122.225.97.109 122.225.97.111 122.225.97.112 122.225.97.115 122.225.97.125 122.225.109.98 122.225.109.100 122.225.109.104 122.225.109.105 122.225.109.107 122.225.109.108 122.225.109.109 122.225.109.111 122.225.109.113 122.225.109.114 122.225.109.117 122.225.109.195 122.225.109.198 122.225.109.200 122.225.109.204 122.225.109.207 122.225.109.208 122.225.109.209 122.225.109.210 122.225.109.211 122.225.109.214 122.225.109.215 122.225.109.217 123.57.7.240 123.57.8.1 123.125.219.130 123.176.102.141 124.93.230.131 128.199.135.25 128.199.143.61 128.199.208.152 128.199.217.243 128.199.249.13 134.50.174.61 137.117.185.103 176.9.47.247 178.62.144.103 182.79.234.11 183.60.202.2 183.63.52.30 183.110.253.233 183.136.213.120 184.154.100.154 185.25.48.29 188.93.212.165 188.127.249.37 188.246.204.145 189.1.169.141 192.3.116.25 192.126.120.49 192.126.120.74 192.126.120.87 192.126.120.92 192.169.234.101 193.107.17.72 195.94.234.86 195.154.77.176 196.2.99.116 196.201.7.3 198.15.108.50 198.20.70.114 198.27.108.132 198.27.108.138 198.27.108.140 198.101.151.121 199.180.115.87 201.199.8.238 202.121.49.52 202.170.136.247 203.142.80.179 203.157.152.9 203.188.246.102 209.239.114.179 210.14.152.5 210.51.13.230 211.49.170.76 211.100.61.23 211.103.250.102 211.109.1.231 211.147.242.113 211.255.130.236 211.255.130.237 212.51.174.61 212.83.176.8 212.129.49.248 213.171.190.210 214.51.174.61 215.51.174.61 217.106.32.195 218.2.0.121 218.2.0.123 218.2.0.125 218.51.174.61 218.80.240.16 218.106.254.121 220.51.174.61 220.177.198.31 221.194.47.232 221.239.0.182 222.60.95.243 222.186.34.117 222.186.34.123 222.186.34.202 222.186.34.237 222.186.56.42 222.186.56.45 222.186.57.235 222.219.187.9 223.4.31.104 223.51.174.61 224.51.174.61 225.51.174.61 247.47.9.176 |
 |
19
TrustyWolf 2014-11-02 19:44:31 +08:00
咱DO的新加坡Droplet一开始也遭受了SSH攻击,换了一个端口妥妥的~
|
 |
20
ray1980 2014-11-02 19:50:13 +08:00 via Android
从没看过log,不知道看哪个文件,也看不懂,看的话估计也要吓一跳
|
 |
21
xuwenmang 2014-11-02 19:52:30 +08:00
机器人隔几分钟无脑扫的。。。
|
|
22
cbsw OP @ray1980 用 systemd 的话(现在主流系统好像都切换到 systemd 了),直接用 journalctl 就可以查看
|
 |
23
gihnius 2014-11-02 19:54:17 +08:00
很正常!应该是通过脚本自动扫描 22 端口的,因为你换个端口就很少了。
|
 |
26
bobopu 2014-11-02 20:06:14 +08:00
改高位端口,设规则每ip扫描端口超过2个即封2小时,设规则密码错误2次即封ip8小时。
|
 |
27
xenme 2014-11-02 20:12:28 +08:00
我家里的路由,忘记设置防火墙规则,然后允许外部SSH/WEB登录,几分钟不到就有一大波的各种弱口令攻击。。
-------------- 感觉这些人速度太快了。都有点像是路由器自动通知的这帮人,嘿,可以来扫端口和攻击了。 |
 |
28
zinev 2014-11-02 20:15:21 +08:00
看到这个帖子,ssh上去看了下,azure上一个重装系统的centos不到半个月的时间已经有了16MB的SSH日志,还好前几天改了端口
|
 |
30
Havee 2014-11-02 20:22:24 +08:00
有什么好吓的,ssh 的话禁止密码登陆吧。
各种暴力破解一直在进行中,joomla 后台一秒一次猜解,一秒换次ip,6小时一个轮回。懒得看了,写个计划任务,定期清空 joomla 日志 |
 |
31
tobyxdd 2014-11-02 20:32:15 +08:00
改个5位数端口+奇葩用户名+强密码
|
 |
32
aliuwr 2014-11-02 20:37:14 +08:00
参考这个添加黑名单,http://antivirus.neu.edu.cn/scan/ssh.php
|
 |
33
superwbd 2014-11-02 20:39:50 +08:00
到手第一件事:修改SSH端口,关闭密码登陆。
另:  |
 |
34
lightforce 2014-11-02 20:53:35 +08:00
我都是封/18段的
|
 |
35
t6attack 2014-11-02 21:43:17 +08:00
忽然想起这逗比
 |
 |
36
764664 2014-11-02 22:07:37 +08:00
常有的事
fail2ban 还是必要的 |
 |
37
seki 2014-11-02 22:11:33 +08:00
每周订阅 logwatch 得到的结论:linode 比 bandwagon 更受攻击者的欢迎
|
 |
38
stillwaiting 2014-11-02 22:33:13 +08:00
其实暴露在外网的机器都一样的,我公司的外网服务器,每天都是不断的受到攻击,国内肉鸡实在太多了,我直接指定只允许一个固定IP登录;vps的话建议改端口,或者用fail2ban
|
 |
39
xierch 2014-11-02 22:53:15 +08:00
所以说.. root 账户弱密码就是分分钟悲剧..
随手装个 fail2ban 吧.. 省得一大堆日志.. |
 |
40
anjunecha 2014-11-02 22:53:22 +08:00 via Android
放在公网的服务器不被扫才是不正常的…fail2ban和iptables 配合使用可以保证基本无忧
|
 |
41
jaylong 2014-11-02 23:22:12 +08:00  1
看大家都在激烈的讨论服务器安全策略问题,我来歪个楼,请问怎么查看日志啊?
|
 |
42
MayLava 2014-11-02 23:26:02 +08:00
只允许key登录,禁用root密码。
顺便也装了个fail2ban( |
 |
43
qiaoka 2014-11-02 23:28:41 +08:00
现在早都学会扫描高段位端口了。
1083 2269 3363 4768 之类的一大堆日志。 |
 |
45
Quaintjade 2014-11-02 23:46:39 +08:00 1
|
 |
46
foxni 2014-11-02 23:56:40 +08:00
...为什么我4台主机一台都没有。。。难道就因为我把端口改得高高的缘故?
|
 |
47
toduse 2014-11-03 00:20:34 +08:00
刚看了下有Failed password for root from..也就罢了,居然有Accepted password for root from.. 赶紧改只允许用key登陆
|
 |
48
hbkdsm 2014-11-03 11:32:27 +08:00
确实太可怕了,赶紧apt-get install denyhosts
|
 |
50
la0wei 2014-11-07 10:08:25 +08:00
Last failed login: Thu Nov 6 20:51:11 EST 2014 from 123.127.36.162 on ssh:notty
There were 1859 failed login attempts since the last successful login. |
 |
51
Artvision 2014-11-09 10:44:16 +08:00
不错了,前两天刚刚尝试Do的VPS,那边SSH刚改好高位端口,修改为SSH登陆,然后装好Denyhosts,这加起来不过一个小时的事情,已经被扫描了几百吃,尝试最多的一个既然是浙江湖州的。。。。国人抓肉鸡也不要这么拼命把。。
|
 |
52
luo362722353 2014-11-30 07:27:49 +08:00 via iPhone
do我那次也是,重装一次系统后…几百次错误登陆…端口高开了
|
Select Language