V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NGINX
NGINX Trac
3rd Party Modules
Security Advisories
CHANGES
OpenResty
ngx_lua
Tengine
在线学习资源
NGINX 开发从入门到精通
NGINX Modules
ngx_echo
1mayi
V2EX  ›  NGINX

我的服务器是公共厕所

  •  
  •   1mayi · 66 天前 · 8898 次点击
    这是一个创建于 66 天前的主题,其中的信息可能已经有所发展或是发生改变。

    用了 google cloud 以后 cpu 过一段时间就会飙升一次,一直很纳闷。 以前从来没看过 nginx 日志,今天一看惊呆了,有不停换 ip 尝试登陆的,有尝试获取 phpmyadmin 地址的。 仅仅一天的日志 90%以上都是各种使坏的。

    135.181.10.248 - - [01/Jan/2021:02:50:05 +0000] "GET /phpmyadmin HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    135.181.10.248 - - [01/Jan/2021:02:50:05 +0000] "GET /?/phpmyadmin HTTP/1.1" 200 6487 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:51:03 +0000] "GET /phpmyadmin HTTP/1.1" 301 5 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:51:03 +0000] "GET /phpmyadmin HTTP/1.1" 404 3422 "https://gotomorrow.dev:443/phpmyadmin" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    135.181.10.248 - - [01/Jan/2021:02:51:06 +0000] "GET /phpmyadmin HTTP/1.1" 301 5 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    135.181.10.248 - - [01/Jan/2021:02:51:07 +0000] "GET /phpmyadmin HTTP/1.1" 404 3422 "https://gotomorrow.dev:443/phpmyadmin" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:52:24 +0000] "GET /myadmin HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:52:24 +0000] "GET /mysql HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:52:24 +0000] "GET /mysqladmin HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:52:25 +0000] "GET /db HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:52:25 +0000] "GET /sqladmin HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:52:26 +0000] "GET /pma HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:52:26 +0000] "GET /phpmy HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:52:27 +0000] "GET /phpmanager HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    
    13.233.145.199 - - [01/Jan/2021:04:28:59 +0000] "GET /zh/wp-login.php HTTP/1.1" 200 2749 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    13.233.145.199 - - [01/Jan/2021:04:29:13 +0000] "POST /zh/wp-login.php HTTP/1.1" 200 2873 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    13.233.145.199 - - [01/Jan/2021:04:29:23 +0000] "POST /zh/xmlrpc.php HTTP/1.1" 200 412 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    
    53 条回复    2021-01-03 20:10:30 +08:00
    iXingo
        1
    iXingo   66 天前
    正常,我也是。而且我在 /var/log/auth.log 上面还看到每天都有人在暴力破解 ssh 登录 :(
    kidlj
        2
    kidlj   66 天前   ❤️ 14
    第一天用服务器?

    sudo cat /var/log/secure 有更多惊喜。
    codehz
        3
    codehz   66 天前
    坐下,基本操作。
    是个 web 服务器都会有这种自动化扫描的
    LnTrx
        4
    LnTrx   66 天前
    开放 IP 直接访问 80 的的话都是这样,毕竟为了各种原因把有效的公网 IPv4 全扫一遍在时间上是可行的。
    Ptu2sha
        5
    Ptu2sha   66 天前
    。。还是太年轻 等你手里有一堆服务器 看日志就不奇怪了
    甚至可以写规则逗逗这些扫描器
    yanzhiling2001
        6
    yanzhiling2001   66 天前
    被扫这种事,习惯就好了,就像是你开了一个门头,不断有人进出,也有不怀好意的人盯着
    WIAIHE
        7
    WIAIHE   66 天前   ❤️ 1
    我把博客的 admin 重定向到了 p*o*r*n*h*u*b,然后把 admin 移动到 /awadjaudhiuhfaofhOEHefhiuHSD/admin
    paperseller
        8
    paperseller   66 天前 via Android
    @kidlj 使用这行命令看到今早 7:19 至 7:32 有异常的登录尝试,本人当时还在睡觉。看起来登录成功了?
    Jan 1 07:27:42 107 sshd[8378]: Accepted publickey for root from xxx.xxx.xxx.xxx port xxxxx ssh2: RSA SHA256:....
    再看到 root 目录多了一个名为 virt-sysprep-firstboot.log 的日志文件,查看日志存在一个 /usr/lib/virt-sysprep 的文件夹以及子目录有 sh 文件和空的 scripts 文件夹。但是我开了私钥登录而且关闭了密码登录,这还是被入侵了?
    kidlj
        9
    kidlj   65 天前   ❤️ 1
    @paperseller "Accepted publickey for root" 就是代表 root 登录成功了,但不代表是被攻击了,可能是自己登录的。另外搜索了一下 virt-sysprep-firstboot.log 文件,似乎是 RH 的自带日志。
    paperseller
        10
    paperseller   65 天前 via Android
    @kidlj 非常感谢。看了下登录的 ip,应该是自己另一个住址的 ip,然后搜索了下 virt-sysprep,跟 kvm 虚拟机备份克隆有关。可能是虚惊一场。
    Yien
        11
    Yien   65 天前
    gcp 不都是 sshkey 登入吗?
    YouLMAO
        12
    YouLMAO   65 天前 via Android
    服务器时间并非北京的时间,可能是巴拿马的
    opengps
        13
    opengps   65 天前 via Android
    习惯就好,这就是真实的公网环境
    helloworld000
        14
    helloworld000   65 天前
    关闭 ssh root 和密码登陆,只用 public key 登陆会安全很多
    liuqi0270
        15
    liuqi0270   65 天前 via iPhone
    我都不敢看日志。哈哈
    matrix67
        16
    matrix67   65 天前
    1. 改端口
    2. 安全组白名单
    oreoiot
        17
    oreoiot   65 天前 via iPhone
    我之前白嫖的良心云端云主机,不知道有没有成为人的肉鸡干过坏事,到期后果断没有续。没有安全意识我还是不要搞的好。
    我的 Windows 远程桌面口令很弱,估计都被破解好几轮了,目前没发现异常也没有管。
    yfwl
        18
    yfwl   65 天前
    很正常的啊 哈哈
    zszhere
        19
    zszhere   65 天前 via iPhone
    这很正常 僵尸网络主机的常规操作 批量爆破 批量打 exp
    icreeper
        20
    icreeper   65 天前 via iPhone
    很正常,我就是把 22 关了还有人试我 22 端口
    z775781
        21
    z775781   65 天前
    你去 grep 这个扫描的 ip,甚至能看到很多 cms 的 exp 之类的
    masker
        22
    masker   65 天前 via Android
    那你不适合用 VPS
    Jooooooooo
        23
    Jooooooooo   65 天前
    ip4 的地址太少了, 使得全网扫描变得可能
    miaomiao888
        24
    miaomiao888   65 天前   ❤️ 1
    别服务器了,就家里电脑自从有了公网也天天被扫
    lada05
        25
    lada05   65 天前
    @miaomiao888 #24 那要做哪些安全设置啊?这段时间玩 PT,也准备申请公网 IP 呢
    S179276SP
        26
    S179276SP   65 天前 via Android
    你可以把登陆 ip 复制到 abuse ip info 网站搜索,基本上不同国家都有举报的。
    miaomiao888
        27
    miaomiao888   65 天前
    @lada05 装个防火墙应该能拦住,我自己用的 netlimiter
    t6attack
        28
    t6attack   65 天前
    暴露在公网上机器就是这样,没人连接才有问题。
    造成公网上大部分扫描的,不是“人”而是“蠕虫病毒”。比如:编写一个 ssh 弱口令蠕虫极其简单,所以数量根本无法统计。 大部分 v 友,简单研究下,就能用自己擅长的语言写出来。
    至于能传播多广,主要看蠕虫携带的 密码库 和 扫描策略 是否有效。
    dream4ever
        29
    dream4ever   65 天前
    所以要用 fail2ban,把这种扫描主机的 IP 都屏蔽掉。而且 fail2ban 是基于日志的,可以各种自定义,建议研究研究。
    manami
        30
    manami   65 天前
    哈哈这个标题
    asche910
        31
    asche910   65 天前
    这不家常便饭吗
    UnknownSky
        32
    UnknownSky   65 天前 via Android
    fail2ban,一次錯誤封永久。關閉 SSH 外網訪問,SSH 透 VPN 連接
    black11black
        33
    black11black   65 天前 via Android
    可见 lz 机器一直没有防护裸奔到现在。。没被打下来属于运气较好
    Kaciras
        34
    Kaciras   65 天前
    人家只是敲门而已,还没进去拉屎呢,把门锁好就行了。
    learningman
        35
    learningman   65 天前
    @UnknownSky 一次错误就把自己给放逐了。。。
    hd2ex
        36
    hd2ex   65 天前
    too young too simple
    Lemeng
        37
    Lemeng   65 天前
    正常,如果没有这些,可能才不正常
    patrickyoung
        38
    patrickyoung   65 天前 via iPhone
    我都是直接 endlessh,然后扫描的直接送 gzip bomb
    fumichael
        39
    fumichael   65 天前
    表示第一次看也是惊到了,但是一想我只有 Java 环境呀,都没 PHP 环境,怕个锤子哦
    dangyuluo
        40
    dangyuluo   65 天前
    sshguard + fail2ban 一套
    UnknownSky
        41
    UnknownSky   65 天前 via Android
    @learningman ssh 連接軟體都設定好的,沒關係。再說很少從外網連線
    Whalko
        42
    Whalko   65 天前
    请问怎么看 nginx 日志?
    byte10
        43
    byte10   65 天前
    @lada05 PT 要有公网才行吗
    byte10
        44
    byte10   65 天前
    建议开一个 VPN 就得了,一切内网操作,应该挺好的
    1mayi
        45
    1mayi   65 天前   ❤️ 1
    @Whalko /var/log/nginx/access.log
    ttyhtg
        46
    ttyhtg   65 天前
    每次登录都提示有几万次的尝试登录错误
    tubowen
        47
    tubowen   65 天前
    我的腾讯云服务器也是,一直有人尝试 ssh 爆破登录,改了 ssh 端口之后就没了
    tubowen
        48
    tubowen   65 天前
    Huelse
        49
    Huelse   65 天前
    lastb | wc -l

    看看你被尝试 ssh 登录了几次,以前有台闲置的服务器没管,兴趣使然查了下,被尝试登陆 10w+次
    Mac
        50
    Mac   64 天前   ❤️ 1
    如果你的网站不是 wordpress 架的,那么用 fail2ban 封掉一切 wordpress 特征就能干掉绝大部分扫描机
    maypu
        51
    maypu   64 天前 via Android
    语言直接扫 zn 开头的可太秀了,看起来应该是国人干的
    Flash1
        52
    Flash1   64 天前
    看到这个贴想起 22 端口没改,一看安全记录好几十页长。把 ssh 默认端口换了,防火墙关闭 22 端口后,安全 log 基本没新记录了
    xyz1396
        53
    xyz1396   64 天前
    以前我的路由器换了公网 ip 也这样 233333
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3226 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 12:56 · PVG 20:56 · LAX 04:56 · JFK 07:56
    ♥ Do have faith in what you're doing.