V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
station
V2EX  ›  Linux

真的被黑了, 艹 它想干什么

  •  
  •   station · 2017-08-07 10:55:45 +08:00 · 12386 次点击
    这是一个创建于 2664 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一台做为家庭服务器的破主机,配置很差能做什么( j1900 )

    /root 下还多出了 3 个文件

    195.22.127.83( IP 归属地显示波兰 ) 就在黑名单 http://www.nothink.org/blacklist/blacklist_ssh_day.txt

    http://blackip.ustc.edu.cn 也能查到改 ip

    若是被黑怎么对应 ?

    Markdown

    41 条回复    2017-08-28 16:05:19 +08:00
    changwei
        1
    changwei  
       2017-08-07 11:14:42 +08:00
    这种都是拿扫描器扫的把,可能扫描器用的那个代理在波兰而已。

    这年头用扫描器黑服务器的人差不多都是,盗窃数据并且敲诈勒索诈骗,挖矿,黑帽 SEO 做暗链,或者作为肉鸡继续用来挂扫描器。
    station
        2
    station  
    OP
       2017-08-07 11:19:00 +08:00
    @changwei 黑我一点价值都没有....
    macfee
        3
    macfee  
       2017-08-07 11:19:12 +08:00
    关公网。vpn 登陆。。。
    yangxuan8282
        4
    yangxuan8282  
       2017-08-07 11:20:39 +08:00
    微博上还见过有人树莓派被黑的,被用来挖矿
    t123yh
        5
    t123yh  
       2017-08-07 11:22:03 +08:00 via Android
    你是怎么被黑的,弱密码?
    Fedor
        6
    Fedor  
       2017-08-07 11:22:19 +08:00
    有时间问这种没有价值的问题,可以花时间查些资料,涨点姿势。
    station
        7
    station  
    OP
       2017-08-07 11:23:54 +08:00
    @t123yh 你说中了.....
    station
        8
    station  
    OP
       2017-08-07 11:25:07 +08:00
    @Fedor 正在查哦, 问一个问题,如何导入大量的 blacki, txt 格式
    cye3s
        9
    cye3s  
       2017-08-07 11:33:49 +08:00 via Android
    公钥认证,禁用密码登录,当然 openwrt 还有两个工具可用,一个类似 fail2ban,一个可导入黑名单
    cye3s
        10
    cye3s  
       2017-08-07 11:34:24 +08:00 via Android
    @station ipset
    lieh222
        11
    lieh222  
       2017-08-07 14:47:25 +08:00   ❤️ 1
    from twisted.internet import protocol,reactor
    import datetime

    class Sock(protocol.Protocol):

    def connectionLost(self, reason):
    with open('attacksshhost.txt','a+') as f:
    dt = str(datetime.datetime.now())
    f.write(self.transport.getPeer().host +' ' + dt + '\n')

    class SockFactory(protocol.Factory):
    def buildProtocol(self,addr):
    return Sock()

    reactor.listenTCP(22,SockFactory())
    reactor.run()
    高性能防攻击 ssh 服务。。。
    t333st
        12
    t333st  
       2017-08-07 14:52:26 +08:00
    成为僵尸网络的一员,被利用来扫描、ddos 等
    EmmaSwan
        13
    EmmaSwan  
       2017-08-07 14:56:44 +08:00
    然后哪天公安就找你喝茶了,说你名下的机器攻击了他们的老巢 R_R
    xuezher
        14
    xuezher  
       2017-08-07 14:58:15 +08:00
    为什么我看错了,艹黑了
    wupher
        15
    wupher  
       2017-08-07 15:11:04 +08:00
    挺好的,赶紧改造成蜜罐。
    Sirormy
        16
    Sirormy  
       2017-08-07 15:17:51 +08:00
    @station 你觉得没有价值,其实不是啊,可以那你做肉鸡啊,以后发动网络攻击有大用处。
    msg7086
        17
    msg7086  
       2017-08-07 15:33:49 +08:00
    没价值?哪来 DoS 然后平平安安反查到你,你就进去蹲着了,这还没价值啊……
    BFDZ
        18
    BFDZ  
       2017-08-07 16:20:49 +08:00
    一个机子的性能不怎么样,但组成一群肉鸡威力就大了
    Rice
        19
    Rice  
       2017-08-07 16:56:05 +08:00 via iPhone
    现在物联网肉鸡已经成趋势了
    xiaoyang7545
        20
    xiaoyang7545  
       2017-08-07 17:08:15 +08:00
    @station 他才不会去分析黑你的价值有多大。都是广撒网。先黑再利用
    ryd994
        21
    ryd994  
       2017-08-07 19:04:48 +08:00 via Android
    改端口,禁密码
    改端口可以让日志清静很多………
    禁密码基本可以保证安全了,对于个人用途的话
    还可以禁 root,公钥先登录普通用户再 sudo,两层认证,顺便防手贱
    TimePPT
        22
    TimePPT  
       2017-08-07 20:08:03 +08:00   ❤️ 1
    youyoulemon
        23
    youyoulemon  
       2017-08-07 20:59:41 +08:00
    换端口换 ssh 密钥登录禁密码,不用的端口都关了
    UnknownR
        24
    UnknownR  
       2017-08-07 21:56:26 +08:00
    僵尸网络,摄像头都会被黑,家用服务器还算正常
    xiaopc
        25
    xiaopc  
       2017-08-07 21:57:46 +08:00 via Android
    sgissb1
        26
    sgissb1  
       2017-08-07 22:19:27 +08:00
    你开了啥服务?就仅仅通过 ssh 上来?

    我有个 n3150,开了 windows 下的 team viewer,然后虚拟机的 linux 开了 svn-http 不知道会不会被爆破啊
    sgissb1
        27
    sgissb1  
       2017-08-07 22:19:51 +08:00
    对了,整个机器是 nat 后面,我只是用端口映射暴露出来的
    skylancer
        28
    skylancer  
       2017-08-07 22:55:50 +08:00
    我还想说为什么不躲路由器后面呢..
    自己用弱密码就没办法了..
    xratzh
        29
    xratzh  
       2017-08-07 22:57:01 +08:00 via iPhone
    现在基本上 vps 如果不搞钥匙的话,基本上 ssh 上去改 ssh 的端口,然后防火墙一波( ufw。顺便问问 ufw 有什么劣势么?
    bravecarrot
        30
    bravecarrot  
       2017-08-08 00:47:36 +08:00 via iPhone
    @yangxuan8282 树莓派被黑 笑死了
    neroxps
        31
    neroxps  
       2017-08-08 08:46:45 +08:00
    @xratzh 个人感觉比 Firewall 命令语法要直接简单明了。
    evagreenworking
        32
    evagreenworking  
       2017-08-08 09:18:25 +08:00 via Android
    ISP : 这下知道我大内网 ip 的好处了吧 /手动滑稽
    xmoiduts
        33
    xmoiduts  
       2017-08-08 09:39:19 +08:00 via Android
    还是在暴露的端口外面套一层加密比较好,我在学校的树莓派要套一层$$才能代理访问校内的网站
    master13
        34
    master13  
       2017-08-08 09:47:19 +08:00
    我看成了“艹他”才点进来的
    QQ2171775959
        35
    QQ2171775959  
       2017-08-08 09:55:26 +08:00
    黑了就重做系统吧。。哈哈
    coolloves
        36
    coolloves  
       2017-08-08 10:14:07 +08:00 via iPhone
    关闭 root 登陆啊
    station
        37
    station  
    OP
       2017-08-08 20:31:27 +08:00
    @QQ2171775959 正打算呢,再编译几次内核测试下就重装了
    changwei
        38
    changwei  
       2017-08-10 10:21:48 +08:00
    @station 所以说它是用扫描器批量扫描的,刚好你的 IP 在他扫描器里面的活跃 IP 段了,它扫之前也不知道这些机器有木有价值,所以也就有人碰到过树莓派被黑的情况。
    lfs9azh
        39
    lfs9azh  
       2017-08-15 19:46:35 +08:00
    弱口令被黑多正常,你随便用个手机号码加几个字母都没事,我买过几个 VPS 都没发现被黑过
    diveIntoWork
        40
    diveIntoWork  
       2017-08-16 16:52:11 +08:00
    扫描器是主要针对 22 端口扫描的吗?
    owenk
        41
    owenk  
       2017-08-28 16:05:19 +08:00
    直接把源站做 CDN 吧。不过貌似的你源站已经暴露了。
    可以接入专业的第三方云防护来防御吧,推荐知道创宇抗 D 保,防御效果不错。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2878 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 11:18 · PVG 19:18 · LAX 03:18 · JFK 06:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.