首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zhng920823
V2EX  ›  分享发现

爆破 SSH 的还会选择夜里或中午休息的时间段

  •   
  •   zhng920823 · 2023-11-01 13:23:08 +08:00 · 745 次点击
    这是一个创建于 374 天前的主题,其中的信息可能已经有所发展或是发生改变。

    把魔改过的 openwrt 的 dropbear ssh 暴露到公网了, 下面是记录的爆破日志 魔改过的 dropbear 还没到认证环节就把 socket 关闭了 受限于 openwrt 的系统日志长度, 如下只是部分日志:

    东八区时间

    Tue Oct 31 04:26:06 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 04:29:19 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 04:32:29 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 04:35:32 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 04:38:53 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 04:42:00 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 04:45:10 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 04:48:13 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 04:51:20 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 04:54:35 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 04:57:35 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 05:00:42 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 05:03:45 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 05:07:08 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 05:10:19 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 07:25:26 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 07:28:54 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 07:32:35 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 07:35:53 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 07:39:26 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 07:42:45 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 07:45:54 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 07:49:08 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 07:52:22 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 07:55:58 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 07:59:33 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 08:03:02 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 08:06:28 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 08:09:47 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 12:24:47 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 12:28:18 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 12:31:57 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 12:35:28 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 12:38:56 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 12:42:33 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 12:45:49 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 12:49:15 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 12:52:45 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 12:56:00 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 12:59:16 2023 authpriv.warn dropbear[845]: block ABCD

    Tue Oct 31 13:02:34 2023 authpriv.warn dropbear[845]: block ABCD

    Wed Nov 1 12:12:37 2023 authpriv.warn dropbear[845]: block ABCD

    Wed Nov 1 12:16:19 2023 authpriv.warn dropbear[845]: block ABCD

    Wed Nov 1 12:19:38 2023 authpriv.warn dropbear[845]: block ABCD

    Wed Nov 1 12:22:50 2023 authpriv.warn dropbear[845]: block ABCD

    Wed Nov 1 12:26:10 2023 authpriv.warn dropbear[845]: block ABCD

    Wed Nov 1 12:29:31 2023 authpriv.warn dropbear[845]: block ABCD

    Wed Nov 1 12:32:52 2023 authpriv.warn dropbear[845]: block ABCD

    Wed Nov 1 12:36:09 2023 authpriv.warn dropbear[845]: block ABCD

    Wed Nov 1 12:39:53 2023 authpriv.warn dropbear[845]: block ABCD

    Wed Nov 1 12:43:17 2023 authpriv.warn dropbear[845]: block ABCD

    Wed Nov 1 12:46:45 2023 authpriv.warn dropbear[845]: block ABCD

  • dropbear
  • warn
  • authpriv
  • abcd
    6 条回复
    fiht
        1
    fiht  
       2023-11-01 13:49:42 +08:00
    一般都是肉鸡 24*7 扫的,不分时间段
    puttsync0f
        2
    puttsync0f  
       2023-11-01 14:21:27 +08:00
    又不是定点 DDoS 攻击,还分什么时间段
    tool2d
        3
    tool2d  
       2023-11-01 14:37:05 +08:00
    我这里 https ssl 流血攻击一周来一次,因为牵涉到 ssl 握手失败,在 log 里特别明显,对方 IP 也是固定的。

    感觉属于全 ip4 段扫描,一周扫一次全网,间隔时间都差不多是固定的。
    tool2d
        4
    tool2d  
       2023-11-01 14:46:46 +08:00
    还有各种奇葩攻击,比如啥都不干,光发起 tcp 端口,几千个请求迅速占满 bind 入口。(想占满端口?)

    还有想开启 ssl 压缩模式,扔 gzip 炸弹到服务器的。

    还有用../../proc/想访问我 proc 目录的,当然最多的还属 php 框架,动不动就来访问 setup.php/password.php 。以及 UA 为 hello world 的。
    idontnowhat2say
        5
    idontnowhat2say  
       2023-11-01 14:47:29 +08:00 via iPhone
    最好选在下班高峰点,运维老哥还堵在路上...
    x86
        6
    x86  
       2023-11-01 14:49:19 +08:00
    都是自动化的,什么时候扫到你看天
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1082 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 23:25 · PVG 07:25 · LAX 15:25 · JFK 18:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.