V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tool2dx
V2EX  ›  程序员

如何看待黑客 root 登录污染 sshd 日志的情况?

  •  
  •   tool2dx · 139 天前 · 4553 次点击
    这是一个创建于 139 天前的主题,其中的信息可能已经有所发展或是发生改变。

    每开一台新 VPS ,只要不更换 ssh 默认端口,必然会有一大堆的恶意尝试登录请求。

    我以前都不去管的,后来发现/var/log/btmp 这个记录登录失败的文件,总是膨胀特别快。

    无奈加了 fail2ban ,但其实指标不治本,这个软件只能阻止历史 IP ,每天还是有一大堆新 IP 来污染日志。

    同在互联网,大家就不能友善一点吗?盲猜 SSH 密码,纯属瞎猫抓死耗子,吃力不讨好。

    46 条回复    2024-07-09 11:16:58 +08:00
    churchmice
        1
    churchmice  
       139 天前
    你这个想法就不对了
    现在的互联网哪还有友善直说,现在无非都是流量黑产作祟,你见过还有几个真真切切的是无私分享的
    端口扫描本来就无法阻止
    tool2dx
        2
    tool2dx  
    OP
       139 天前
    @churchmice 扫描 ssh 性价比很低的,我是好奇明明看不见希望,为什么还要坚持。

    哪怕是扫 web 端口,漏洞都还多那么一点点。
    retanoj
        3
    retanoj  
       139 天前
    @tool2dx 对你而言,他们无希望
    对他们而言,广撒网
    BadFox
        4
    BadFox  
       139 天前
    端口扫描从来都是难以遏制的,互联网上一大堆自动化扫描+漏洞利用脚本,跟他们讲友善与否纯粹是对牛弹琴....最近还有 ssh 的条件竞争漏洞,搞得自动化脚本更凶残了。

    顺便你提到了性价比,我觉得你对于性价比的理解有点问题,对他们来说无非是搭个服务器,可能配点地址池对整个公网批量尝试弱口令,这个脚本很难写吗?这成本很高吗?而如果成功爆破到那获取到的是什么呢?一个肉鸡服务器,配置不说,起码有个新的公网 IP 。这实际上是一个性价比很高的行为。
    Steaven
        5
    Steaven  
       139 天前   ❤️ 2
    免费的肉鸡,免费的矿机,对他们来说香得狠,无非就是暴力猜密码
    w568w
        6
    w568w  
       139 天前
    > 每开一台新 VPS

    国内 VPS 的常用 IP 段早就加入恶意攻击的目标 IP 库了,怎么换 IP 作用都不大。

    > 只要不更换 ssh 默认端口,必然会有一大堆的恶意尝试登录请求

    你已经知道解决方案了。

    > 同在互联网,大家就不能友善一点吗

    从另一个角度来说,每天有人免费帮你做渗透测试,不开心?
    zw1027
        7
    zw1027  
       139 天前
    白名单永远是最好的做法
    ruidoBlanco
        8
    ruidoBlanco  
       139 天前
    以前换端口,现在从来不换。

    禁止密码登录,只允许 ssh 组用户登录,把自己加入 ssh 组,完事。
    dbak
        9
    dbak  
       139 天前
    防火墙加个白名单不就行了 反正经常登录的地点也就是公司和家里
    liubaicai
        10
    liubaicai  
       139 天前
    装个蜜罐
    Meteora626
        11
    Meteora626  
       139 天前
    你去 502 论坛看看就知道了,那些做灰产的 手头几千几万台机器 都不是啥很高深的黑客就是纯扫,想变现还怕违大法
    besto
        12
    besto  
       139 天前
    @w568w 换口也没有用的,过几天还是会被扫。这个问题本来就无解,最好就是云支持从外部关闭 SSH 的端口(用的时候再打开)
    Goooooos
        13
    Goooooos  
       139 天前
    换端口也被扫,我的 LA 的 VPS 换了高位端口也天天被扫
    adoal
        14
    adoal  
       139 天前
    因为,不会搞 public key 或者不愿搞的用户很多很多……
    adoal
        15
    adoal  
       139 天前
    @adoal 想想看甚至有很多人会把 MySQL 甚至 Redis 、MongoDB 、ES 的服务直接暴露在公网上并且没做网络限制和认证限制
    tool2dx
        16
    tool2dx  
    OP
       139 天前
    @Goooooos 换端口会好那么一点。我测试下来 1:5 的概率。

    我一般会用 fail2ban 阻止访问频率过高的 IP ,而扫高位端口的那些 IP ,刚好符合这个特性。
    Metre
        17
    Metre  
       139 天前
    个人用户的话,我是这么解决的
    1. ipset 把自己所在的省份 IP 加入白名单,其他黑名单. 扫描数可以降至个位数.
    2. 关闭外网 ssh 端口开放,安装 xray,sing-box 等.在客户端本地端口转发登录 ssh.
    wowawesome
        18
    wowawesome  
       139 天前
    黑客个屁,脚本小子罢了
    Kinnice
        19
    Kinnice  
       139 天前
    Port knocking
    hi2hi
        20
    hi2hi  
       139 天前
    人善被人骑
    w568w
        21
    w568w  
       139 天前
    @besto 你说得对。其实还有几个思路:

    1. Port knocking
    2. 自动定期换端口
    3. Virtual LAN 层( Tailscale ,Zerotier ),然后关闭外网访问
    4. 用小众远程控制协议,例如 mosh
    w568w
        22
    w568w  
       139 天前
    @besto 补:倒也不至于说无解。
    dhb233
        23
    dhb233  
       139 天前
    扫描端口性价比不低啊,IPv4 的公网地址又不多,开放 ssh 的更少了
    itakeman
        24
    itakeman  
       139 天前 via Android
    @Metre 第二个怎么操作?
    dapang1221
        25
    dapang1221  
       139 天前
    换端口,改证书登录
    再不嫌麻烦的话,搭 vpn ,先连进内网,再 ssh 登录
    coldle
        26
    coldle  
       139 天前 via Android
    白名单很有必要,# 17 的省份白名单就是侵入性小且效果显著的方案
    yanqiyu
        27
    yanqiyu  
       139 天前
    改成 pubkey 登录之后就让他扫呗,只要 key 不泄露怕啥
    VYSE
        28
    VYSE  
       139 天前
    用 V2RAY 做代理
    fatekey
        29
    fatekey  
       139 天前
    不想被扫就换端口呗,广撒网的一般只扫默认端口。
    txzh007
        30
    txzh007  
       139 天前
    搞个 5 位端口 求他扫
    Avafly
        31
    Avafly  
       139 天前   ❤️ 1
    端口号设大点. 我之前 fail2ban 一万多条尝试登陆失败的记录, 后来端口号从原来的 8xxx 换成了 5xxxx, 那之后一个扫端口的记录都没了.
    zed1018
        32
    zed1018  
       139 天前   ❤️ 1
    用 level3 的 ipsum 列表做 block ,会好非常多。当然你要是性能好用 level1 的也可以。

    https://github.com/stamparm/ipsum/blob/master/levels/3.txt
    tool2dx
        33
    tool2dx  
    OP
       139 天前
    @zed1018 竟然还有 IP ban 数据库,好高级。

    我一直想问,如果 iptables 导入几万黑名单,会有性能问题吗?
    zed1018
        34
    zed1018  
       139 天前
    @tool2dx #31 我没实际测试过,但是网上的说法是千百条不是很要紧上万就看性能了,所以我选 level3 原因就是因为这个级别大概保持在 15000 左右。
    daisyfloor
        35
    daisyfloor  
       139 天前
    用 key 私钥文件验证登录是不是就没什么问题了?
    cnt2ex
        36
    cnt2ex  
       139 天前
    @daisyfloor 但依然会有连接失败的记录
    Remember
        37
    Remember  
       139 天前   ❤️ 1
    你还 too young ,事实上 ssh 扫描这事儿,从 ssh 协议发明以来就广泛存在了,属于互联网背景噪音,类似宇宙背景辐射这种,已经是网络基础架构的一部分了。
    TianDogK48
        38
    TianDogK48  
       139 天前   ❤️ 2
    @tool2dx iptables 不用导入几万条,用 ipset 存 ip ,iptables 加一条 ipset 的规则就行。
    aru
        39
    aru  
       139 天前
    @tool2dx
    用 ipset ,10 万个 IP 也不占 cpu ,只占一些内存
    daisyfloor
        40
    daisyfloor  
       139 天前
    @cnt2ex 那无所谓了,让他扫呗
    imlonghao
        41
    imlonghao  
       139 天前
    我最近从几个源整合了个 IP 黑名单列表,然后通过 BGP 分发给我的 VPS 们,把路由指向了黑洞地址

    https://cdn.sa.net/2024/07/08/L573m4rWDuioCSj.jpg
    guo4224
        42
    guo4224  
       138 天前 via iPhone   ❤️ 1
    你端口都开了,凭什么不让人访问…
    angryfish
        43
    angryfish  
       138 天前
    白名单,首先公司基本是固定地址,然后家里的,限制到 16 位网段,基本扫描为零了。
    424778940
        44
    424778940  
       138 天前
    5 位端口+1
    之前有些乞丐配置 vps 甚至都被他扫死机了, 换了之后就基本没有记录了
    besto
        45
    besto  
       138 天前
    @424778940 那只是时间不够久...过几个月试试
    424778940
        46
    424778940  
       138 天前
    @besto 已经 1 年多了, 基本没有扫描的, 这个跟楼上说的也跟你 ip 段有关系
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1105 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 23:32 · PVG 07:32 · LAX 15:32 · JFK 18:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.