V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
lihongming
V2EX  ›  程序员

119.29.162.106 是谁的 IP?攻击我干嘛?

  •  
  •   lihongming · 2018-03-04 19:32:42 +08:00 · 14690 次点击
    这是一个创建于 2489 天前的主题,其中的信息可能已经有所发展或是发生改变。

    服务器磁盘空间异常,一查是 /var/log/btmp 文件巨大,打开看看,发现 119.29.162.106 在不断尝试 ssh 登陆。 把 IP 放到浏览器里看看吧,竟然还有个网页,看上去貌似攻击工具 我这台服务器上没什么重要资料,完全是练手测试用的。这也攻击,是闲得蛋疼吗?还是找肉鸡呢?

    76 条回复    2018-03-06 10:52:16 +08:00
    etc
        1
    etc  
       2018-03-04 19:43:04 +08:00
    改 ssh 端口就行了,来 V2EX 能找到攻击者?
    yexm0
        2
    yexm0  
       2018-03-04 19:46:51 +08:00 via iPhone
    少见多怪。。。我这台吃灰 vps 两天时间就有 4.6W 个尝试登录呢。你这只有一条鱼来撞比我好多了
    luo362722353
        3
    luo362722353  
       2018-03-04 19:52:43 +08:00 via iPhone
    我这一台机器开了 15 天,直接 40 万次,感觉俄罗斯的服务器都是被超高速的爆破
    xxoxx
        4
    xxoxx  
       2018-03-04 19:53:53 +08:00 via iPhone   ❤️ 1
    ssh 开放端口分分钟都有人扫描你,改端口+复杂密码比较靠谱
    liwufan
        5
    liwufan  
       2018-03-04 19:55:53 +08:00 via iPhone
    @yexm0 请教一下,这个欢迎界面怎么设置?
    zander
        6
    zander  
       2018-03-04 19:56:50 +08:00
    为什么不改成只允许密钥不允许密码。
    timothyye
        7
    timothyye  
       2018-03-04 20:01:01 +08:00 via Android
    扫 ssh 的多了去了,习惯了就好
    hekaihao2015
        8
    hekaihao2015  
       2018-03-04 20:04:50 +08:00
    腾讯云的,后台发工单举报就行,会封机子的
    hekaihao2015
        9
    hekaihao2015  
       2018-03-04 20:05:21 +08:00
    现在我都是密钥登陆
    Lentin
        10
    Lentin  
       2018-03-04 20:07:22 +08:00 via iPhone
    改端口,光密钥验证不好使的,只要开了 22 就有人扫你,别问我怎么知道的。
    hekaihao2015
        11
    hekaihao2015  
       2018-03-04 20:07:44 +08:00
    IP
    119.29.162.106

    地理位置 中国广东广州
    经纬度(Lng,Lat) 113.280637,23.125178
    应用类型 IDC
    运营商 电信 /联通 /移动
    所有者 tencent.com
    当前行为 机器人 僵尸网络 恶意软件 网络攻击 失陷主机
    历史行为
    来源
    blocklist : 20180206 : 机器人

    firehol : 20180206 : 僵尸网络

    firehol : 20180303 : 恶意软件

    rutgers : 20180304 : 网络攻击

    emergingthreats : 20180303 : 失陷主机
    hekaihao2015
        12
    hekaihao2015  
       2018-03-04 20:08:31 +08:00
    @Lentin 密钥怎么扫
    doubleflower
        13
    doubleflower  
       2018-03-04 20:11:57 +08:00   ❤️ 30
    话说有没有人做个假冒的 ssh 放在 22 口,假装被登录,对方打任何命令都是 echo 操你老母
    Lentin
        14
    Lentin  
       2018-03-04 20:12:43 +08:00 via iPhone   ❤️ 1
    @hekaihao2015 开密钥验证也有 ip 扫你,看日志就晓得了,两个法子清静,1 关日志,2 换端口😗
    Lentin
        15
    Lentin  
       2018-03-04 20:13:33 +08:00 via iPhone   ❤️ 1
    @doubleflower 好像还真有这么个类似的东西,忘了叫啥了
    ResidualBlood
        16
    ResidualBlood  
       2018-03-04 20:15:59 +08:00 via Android
    @doubleflower 蜜罐?
    yingfengi
        17
    yingfengi  
       2018-03-04 20:16:55 +08:00
    @Lentin 这个有意思啊,楼主能不能找找
    yingfengi
        18
    yingfengi  
       2018-03-04 20:21:44 +08:00
    哪个 movie.mp4 可能有点信息 正在拖,很慢,只有 10 几 k/s
    580a388da131
        19
    580a388da131  
       2018-03-04 20:21:57 +08:00 via iPhone
    向腾讯云举报
    yexm0
        20
    yexm0  
       2018-03-04 20:24:02 +08:00 via iPhone
    @liwufan 没研究过。。。上面那些信息是 centos 7 登录后默认显示的
    huaxianyan
        21
    huaxianyan  
       2018-03-04 20:50:15 +08:00 via Android   ❤️ 1
    装个 fail2ban ?
    wlwood
        22
    wlwood  
       2018-03-04 20:57:44 +08:00 via Android
    @doubleflower 哈哈,这个玩法不错
    wlwood
        23
    wlwood  
       2018-03-04 21:28:48 +08:00 via Android
    @doubleflower 以前应该用 chroot, 我们是不是可以用 docker 来搞个?
    xnile
        24
    xnile  
       2018-03-04 21:53:20 +08:00
    @hekaihao2015 这是用那个网站查的
    fumer
        25
    fumer  
       2018-03-04 21:54:07 +08:00 via iPhone
    把 root 用户改成不允许直接登陆,用别的用户转
    PHPer233
        26
    PHPer233  
       2018-03-04 22:07:14 +08:00 via iPhone
    他是想爆破你的 ssh 登录密码。你可以用防火墙屏蔽这个 IP 地址。
    nicevar
        27
    nicevar  
       2018-03-04 22:40:20 +08:00 via Android
    这种一般都是被控制了的, 自动扫描暴力破解 ssh,阿里云好多服务器都这样
    WildCat
        28
    WildCat  
       2018-03-04 22:41:54 +08:00
    liangzi
        29
    liangzi  
       2018-03-04 22:43:57 +08:00 via Android
    @Lentin 请问日志在哪里呢 谢谢
    hp3325
        30
    hp3325  
       2018-03-04 22:46:11 +08:00 via Android
    denyhosts 对付 SSH 尝试
    或改 SSH 端口配合 iptables 对付端口扫描
    gujinxin
        31
    gujinxin  
       2018-03-04 22:49:13 +08:00
    ufw 部署一下也行~
    liqingcan
        32
    liqingcan  
       2018-03-04 23:28:04 +08:00 via Android
    腾讯云的机子吧,感觉 ip 跟我的有点像,
    zhjits
        33
    zhjits  
       2018-03-04 23:29:36 +08:00
    我这边的解决方案是 22 进站直接 tarpit
    amd00
        34
    amd00  
       2018-03-04 23:52:09 +08:00 via Android
    fail2ban 就好了
    ihciah
        35
    ihciah  
       2018-03-05 00:04:37 +08:00 via iPhone
    @doubleflower 应该不需要假冒端口,直接把 root 用户的 shell 改下就行?
    widdy
        36
    widdy  
       2018-03-05 00:06:46 +08:00
    网页加载了最后有视频,上面有名字!!!!
    nosmile
        37
    nosmile  
       2018-03-05 00:07:12 +08:00
    @doubleflower 可以搞个蜜罐收字典,美滋滋
    ysc3839
        38
    ysc3839  
       2018-03-05 00:15:52 +08:00 via Android   ❤️ 1
    lScarlet
        39
    lScarlet  
       2018-03-05 00:41:17 +08:00 via Android
    马克
    ctro15547
        40
    ctro15547  
       2018-03-05 08:33:17 +08:00
    F2B 限制成 2 次 输错了停 1 天 ,世界清净了
    Kimyx
        41
    Kimyx  
       2018-03-05 09:22:55 +08:00
    DenyHosts 来一碗
    dangyuluo
        42
    dangyuluo  
       2018-03-05 09:29:38 +08:00
    auto ban
    cpdyj
        43
    cpdyj  
       2018-03-05 10:12:34 +08:00 via Android
    装个 sshguard,自动 ban
    aksoft
        44
    aksoft  
       2018-03-05 10:37:15 +08:00
    证书登录,扫
    xshwy
        45
    xshwy  
       2018-03-05 10:55:10 +08:00

    还有首页,这是什么鬼…
    Senorsen
        46
    Senorsen  
       2018-03-05 11:07:59 +08:00
    这只是一台被黑了的肉鸡自动扫描互联网找更多肉鸡吧……
    WangYouGX
        47
    WangYouGX  
       2018-03-05 11:35:55 +08:00
    看了下,是腾讯的 ip,估计是 vps 吧
    WangYouGX
        48
    WangYouGX  
       2018-03-05 11:36:41 +08:00
    @hekaihao2015 怎么检测出来的?
    16500682
        49
    16500682  
       2018-03-05 11:40:41 +08:00 via iPhone
    @580a388da131 没有用以前向阿里云举办过卵用都没有
    weakiwi
        50
    weakiwi  
       2018-03-05 11:45:14 +08:00 via Android
    ssh 可以设置 login fail 次数的
    jiqing
        51
    jiqing  
       2018-03-05 11:55:32 +08:00
    改个服务器端口,配置文件改最大尝试登录就好了。
    坐等那个假 ssh,echo xx 你老母的技术
    daemonghost
        52
    daemonghost  
       2018-03-05 13:18:43 +08:00
    intsilence
        53
    intsilence  
       2018-03-05 13:55:57 +08:00
    标准答案 fail2ban
    bfpiaoran
        54
    bfpiaoran  
       2018-03-05 14:14:04 +08:00 via Android
    估计这个机器也是 22 端口扫描出来的肉鸡 可以抓他的爆破密码 来一波反杀 233333
    hsuan
        55
    hsuan  
       2018-03-05 14:17:37 +08:00 via Android
    fail2ban 都不装?
    nullcoder
        56
    nullcoder  
       2018-03-05 14:28:05 +08:00
    #52 @daemonghost 这个是哪里可以查?
    daemonghost
        57
    daemonghost  
       2018-03-05 14:34:11 +08:00   ❤️ 2
    @nullcoder 我是通过这个网站查的: https://www.abuseipdb.com/
    liuxu
        58
    liuxu  
       2018-03-05 14:58:05 +08:00
    买 vps 后改 ssh 端口,禁密码用密钥是基本操作
    wsstest
        59
    wsstest  
       2018-03-05 15:15:38 +08:00
    楼主我扫了下这个 ip 的端口,发现开了 21 和 22,预收我也用 hydra 暴力破解了一下这个 ip 开放的 ftp 和 ssh 端口,虽然并没有破解出密码,但……也算帮你报了一下被扫描之仇
    wsstest
        60
    wsstest  
       2018-03-05 15:16:25 +08:00
    另外,统一回复一下楼上,改 ssh 端口是没有任何作用的,端口扫描一下就知道你的 ssh 开在哪个端口上面了
    Lentin
        61
    Lentin  
       2018-03-05 16:12:49 +08:00 via iPhone
    @wsstest 改端口好歹要解一下裤腰带,不改端口开裆裤露个 JJ 是个人就能摸你一下
    dko
        62
    dko  
       2018-03-05 16:28:26 +08:00
    @hekaihao2015 大哥你是在哪儿查的
    TimePPT
        63
    TimePPT  
       2018-03-05 17:26:24 +08:00
    @dko ipip.net 就能查
    dko
        64
    dko  
       2018-03-05 17:31:16 +08:00
    @TimePPT soga,高老板最近更新了不少东西啊,我以为你在威胁情报平台查的
    sinver
        65
    sinver  
       2018-03-05 17:34:15 +08:00
    广东省广州市 深圳市腾讯计算机系统有限公司 IDC 机房(BGP)
    justyy
        66
    justyy  
       2018-03-05 17:38:48 +08:00
    @xxoxx 我是直接把 root 禁掉远程登陆
    pyufftj
        67
    pyufftj  
       2018-03-05 17:43:33 +08:00
    今天看到几个 IP 攻击 ssh 端口,攻击了 110W 次。。暴破密码出来我输
    locoz
        68
    locoz  
       2018-03-05 17:56:37 +08:00
    locoz
        69
    locoz  
       2018-03-05 18:02:03 +08:00
    Applenice
        70
    Applenice  
       2018-03-05 18:02:21 +08:00
    @hekaihao2015 大哥。。。这是哪里查的啊
    locoz
        71
    locoz  
       2018-03-05 18:03:16 +08:00   ❤️ 3
    #69 弄错了 尴尬
    jiqing
        72
    jiqing  
       2018-03-05 18:04:00 +08:00
    @locoz #71 哇怎么做到的,跪求
    locoz
        73
    locoz  
       2018-03-05 18:28:51 +08:00
    @jiqing python+paramiko 写的
    kfll
        74
    kfll  
       2018-03-05 18:48:53 +08:00   ❤️ 4
    标准姿势应该是在 V2EX 发个帖子:《最近抽空做了新首页,119.29.162.106 ,欢迎测试》、《最近抽空做了个无污染 DNS,119.29.162.106 ,欢迎测试》

    马上就有人帮你 D 掉他了
    liuguang
        75
    liuguang  
       2018-03-06 09:42:10 +08:00
    广州腾讯云的、、、
    ifconfig
        76
    ifconfig  
       2018-03-06 10:52:16 +08:00
    用 DenyHosts
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5373 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 07:38 · PVG 15:38 · LAX 23:38 · JFK 02:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.