V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
hellojinjie
V2EX  ›  问与答

为什么有来自江苏的 IP 在连接我的 22 端口,

  •  
  •   hellojinjie · 2014-07-14 17:56:33 +08:00 · 4102 次点击
    这是一个创建于 3774 天前的主题,其中的信息可能已经有所发展或是发生改变。
    无意中发现一个江苏电信的IP在连接我的22端口

    ubuntu@ip-******:~$ netstat -tan
    Active Internet connections (servers and established)
    Proto Recv-Q Send-Q Local Address Foreign Address State
    -- omit --
    tcp 0 0 172.31.31.236:22 222.186.15.138:6000 SYN_RECV
    -- omit --

    还有另外一个IP没有记录,也是江苏电信的。

    他的端口是6000,这么小,肯定不是一个“人”在尝试连接我的服务器,很大可能是一个扫描程序在扫描。

    大家有碰到过这样的情况吗?

    我用的是 AWS EC2
    17 条回复    2014-07-15 14:43:29 +08:00
    vibbow
        1
    vibbow  
       2014-07-14 19:11:38 +08:00
    我服务器一天要被连几千次,淡定了。
    vibbow
        2
    vibbow  
       2014-07-14 19:12:11 +08:00
    要是你淡定不了的话,就换端口。
    vimutt
        3
    vimutt  
       2014-07-14 19:14:55 +08:00
    “身正不怕影子斜” 尽力做好安全工作 爱连便连。 不懂这些人对着一个vps起什么劲儿 练手还是处于什么目的呢
    vimutt
        4
    vimutt  
       2014-07-14 19:15:57 +08:00
    我常用端口都改成w+以上的 愿意扫就扫吧
    a2z
        5
    a2z  
       2014-07-14 19:29:54 +08:00
    连个端口又没什么,我蜜罐每天被登进去放马放远控几百次
    mongodb
        6
    mongodb  
       2014-07-14 19:32:49 +08:00
    别想太多。不被扫描才不正常。
    如果你被扫描了不是你吸引了别人,以现在的扫描程序的速度和收集的网段来看,公网的IP不被扫描才显得奇怪,被扫描了就跟你走在大街上被人看了没两样。
    Love4Taylor
        7
    Love4Taylor  
       2014-07-14 19:52:32 +08:00
    我擦,和我同城的。。
    hellojinjie
        8
    hellojinjie  
    OP
       2014-07-14 20:27:43 +08:00
    @vibbow
    @vimutt
    @a2z
    @mongodb
    @Love4Taylor Thank you 各位,那我就放心了,本来想开放几个端口的,现在还是算了吧,网络这么凶险。

    话说上次我在360的网站卫士注册了一下,第二天就发现nginx log里全是各种的漏洞扫描,直接把我的网站给搞趴下了。
    eslizn
        9
    eslizn  
       2014-07-14 20:38:31 +08:00
    扫描狗太厉害了,所以换端口+证书认证
    66450146
        10
    66450146  
       2014-07-14 20:48:07 +08:00
    配置好之后就把 22 从防火墙上面去掉吧,只开放用到了的端口
    kmvan
        11
    kmvan  
       2014-07-14 20:49:06 +08:00 via Android
    好正常
    hellojinjie
        12
    hellojinjie  
    OP
       2014-07-14 20:56:55 +08:00
    @eslizn 对的,所以我现在都不敢用密码登陆,直接禁用密码登陆功能,都用证书登陆
    20150517
        13
    20150517  
       2014-07-14 23:00:16 +08:00 via Android
    我的web服务器每天被一个ip扫上百遍类似于 index.php../etc/passwd这个文档,我想说,我的服务不是php好吗?
    hellojinjie
        14
    hellojinjie  
    OP
       2014-07-14 23:09:48 +08:00
    @20150517 晕,笑死我了。
    eslizn
        15
    eslizn  
       2014-07-15 08:01:02 +08:00
    @20150517 是那个nginx正则配置的漏洞吗?
    20150517
        16
    20150517  
       2014-07-15 14:39:35 +08:00 via Android
    @eslizn 不懂这是哪个漏洞,不过我是nginx
    eslizn
        17
    eslizn  
       2014-07-15 14:43:28 +08:00
    @20150517 看错了...这个应该是webserver路径解析的漏洞
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1050 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 43ms · UTC 20:13 · PVG 04:13 · LAX 12:13 · JFK 15:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.