V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
way2create
V2EX  ›  信息安全

闲置的云服务器有近 20w 的 sshd 登陆失败的记录

  •  
  •   way2create · 2020-11-29 13:40:26 +08:00 · 8166 次点击
    这是一个创建于 1461 天前的主题,其中的信息可能已经有所发展或是发生改变。

    买的本来想放 blog 的云服务器,都闲置了好久了,端口不是 22,很少登上去看,之前印象很清净,只有一堆恶意 80 443 端口的。

    今天偶然发现一堆失败记录,之前吐槽恶意访问的时候有 v 友说 fail2ban,所以当时也是顺带做了 sshd 登陆失败的 ip ban 的,但好像没什么效果 毕竟发现很多尝试的记录 而且还在继续尝试。

    linux 比较生疏,v 友们我需要做什么应对措施比较好呢?

    55 条回复    2020-12-02 21:01:07 +08:00
    BrettD
        1
    BrettD  
       2020-11-29 13:54:39 +08:00 via iPhone
    改成公钥登陆,一劳永逸
    opengps
        2
    opengps  
       2020-11-29 14:07:26 +08:00
    公网扫描器一大堆,对外只开通业务必须的端口,比如 web 用的 80
    管理用的 22,3389 改成非常规端口
    数据服务用的端口比如 3306,1433,6379 尽可能避免对公网开放,确实要开放则通过安全组改下端口,限制下 ip 白名单
    firefox12
        3
    firefox12  
       2020-11-29 14:15:58 +08:00
    改端口是必须的
    codyfeng
        4
    codyfeng  
       2020-11-29 14:34:39 +08:00 via Android
    > 好像没什么效果
    是不是改了 sshd 端口后,没有对应更改 fail2ban 封的端口?
    opengps
        5
    opengps  
       2020-11-29 14:49:02 +08:00
    fail2ban 可以针对来自单个 ip 的多次尝试,没法针对来自全网扫描器的不同 ip 的各自尝试
    jim9606
        6
    jim9606  
       2020-11-29 14:49:12 +08:00   ❤️ 1
    那玩意直接忽略就好,就当是豫州背景辐射。
    反正我是封掉密码登录的。
    你要自信地相信 OpenSSH 是目前最注重安全性的开源软件。
    unixeno
        7
    unixeno  
       2020-11-29 15:29:56 +08:00 via Android
    不要用弱口令就行了
    Lemeng
        8
    Lemeng  
       2020-11-29 16:10:13 +08:00
    管他干啥,用的时候没问题。没耽误,就行了
    way2create
        9
    way2create  
    OP
       2020-11-29 16:18:36 +08:00
    @BrettD @unixeno 我还是密码登陆额 弱口令倒不算
    @opengps 是啊 对这种扫描的封了一大堆也白搭 我目前是密码登陆 不算弱口令 常用端口都改了 端口只开放了必须的 只许本地监听的也没开公网访问 就是自己 Linux 不是很熟 看到这么多记录 来问一下密码登陆的情况下是否有必要做些什么措施
    @codyfeng fail2ban 有 ban ip 只是这是不同的 ip
    @firefox12 那些常用的端口最开始就改了
    sjmcefc2
        10
    sjmcefc2  
       2020-11-29 16:42:16 +08:00
    有什么措施可以可视化这些非法登陆呢
    codyfeng
        11
    codyfeng  
       2020-11-29 16:43:01 +08:00
    @way2create #9
    1. 不知道你的配置,据我所知 fail2ban 默认 sshd jail 只 ban port 22,因此如果你的 sshd port 不是 22 有可能相当于没 ban 。查一下 /var/log/fail2ban.log 有没有“already banned”可以验证。
    2. 可以用 port knocker 隐藏 sshd port 。
    lewis89
        12
    lewis89  
       2020-11-29 17:17:53 +08:00
    不要用密码 全改成公钥就完事了 4096 加密的让它去破吧
    freecloud
        13
    freecloud  
       2020-11-29 17:30:27 +08:00
    改个端口,用私钥登录吧。
    Mac
        14
    Mac  
       2020-11-29 17:31:15 +08:00
    fail2ban 直接封 10000 年。。
    zpfhbyx
        15
    zpfhbyx  
       2020-11-29 17:59:58 +08:00
    2fa 啊
    ZRS
        16
    ZRS  
       2020-11-29 18:24:49 +08:00
    关密码 换端口
    Caan07
        17
    Caan07  
       2020-11-29 18:41:03 +08:00
    我现在明白了,要不就 openssl 出问题,要不就我自己发傻把 public key 文件发给别人,4096 加密的,端口就 22,禁止账户仅仅 public key 了,要解密就解密去吧。
    ntgeralt
        18
    ntgeralt  
       2020-11-29 19:12:28 +08:00
    群晖公网一开 ssh 和主动防护,每 3 秒就一个尝试登陆失败提示
    所以,10000 端口以下的太好扫描,都改到 5w 端口以上。
    FS1P7dJz
        19
    FS1P7dJz  
       2020-11-29 19:22:13 +08:00   ❤️ 1
    某楼说当成宇宙背景辐射,哈哈哈这个太贴切了吧
    impl
        20
    impl  
       2020-11-29 19:36:10 +08:00 via Android
    换端口就行了
    s609926202
        21
    s609926202  
       2020-11-29 19:39:48 +08:00 via iPhone   ❤️ 1
    亲测改端口禁止 root 登陆有效
    hoyixi
        22
    hoyixi  
       2020-11-29 19:41:31 +08:00
    fail2ban 设置 sshd 失败 3 次(或者更少,但是小心自己登错被 ban )直接 ban 该 IP 至少一个小时。对方有足够多 IP,就让对方尽情试好了
    msg7086
        23
    msg7086  
       2020-11-29 20:24:27 +08:00 via Android
    说改端口有效的,我一个 ssh 改到 10000 以上端口的机器天天被人连上试密码。
    monkey110
        24
    monkey110  
       2020-11-29 20:33:23 +08:00
    完全不影响使用 也就懒得管了
    opengps
        25
    opengps  
       2020-11-29 20:35:16 +08:00
    @msg7086 你是不是装上了 11211 之类其他服务的端口号。
    改端口确实有效,很多扫描器只搜索默认端口,能跟着端口找的你,如果不是碰巧,那么更像是定向针对你
    tojonozomi
        26
    tojonozomi  
       2020-11-29 20:45:28 +08:00
    看了帖子之后,去自己闲置的机器上看了下,被试了 10w+次还行
    已经禁止掉密码登录了
    programV2
        27
    programV2  
       2020-11-29 22:30:15 +08:00 via iPhone
    @Caan07 公钥文件可以公开没关系。
    forgetandnew
        28
    forgetandnew  
       2020-11-29 23:18:02 +08:00 via iPhone
    fail2ban 错三次封一年
    indev
        29
    indev  
       2020-11-29 23:32:47 +08:00
    虽然没啥太大的影响,但看着日志很烦。
    所以我就在防火墙里设置 ip 白名单,只允许信赖的 ip 或 ip 段可以连接 ssh 的端口。
    laminux29
        30
    laminux29  
       2020-11-30 00:20:32 +08:00   ❤️ 1
    1.不需要改端口,骗自己。密码设置为复杂的强密码就行了。

    2.更新、漏洞补丁一定要及时升级。

    3.单入口有被 0day 的风险,可以通过多层异构入口来降低被连续 0day 的风险,但也只是降低,没办法 100%阻止,万一哪天这一整套同时被 0day 。
    1if5ty3
        31
    1if5ty3  
       2020-11-30 00:58:34 +08:00
    我群晖已经很久没有尝试登陆失败的日志了。。
    hawhaw
        32
    hawhaw  
       2020-11-30 07:34:04 +08:00 via Android
    改端口比不改强,但最好是封 ping,因为很多扫描是首先 ping 一圈。
    还有种高级的用法是你连之前需要先 ping 一个特殊包,服务器才打开相应端口,你才能连
    elfive
        33
    elfive  
       2020-11-30 07:45:43 +08:00 via iPhone
    我的裙晖天天被日,我的做法是,配置错一次,永久封禁,相关账号一律 PublicKey 登陆……而且根据来访者 ip 地址,我已经锁定了两个区域,一个在北京,一个在山东,均为联通宽带用户。
    因为我就是朋友间的私人服务器,他们用的都是电信,所以我完全可以直接屏蔽掉所有联通的 ip 。甚至只允许省内电信访问。
    其实,我也知道 VxN 访问最直接,主要是我看着那些人一个一个 ip 被 ban 觉得很搞笑。
    xuanbg
        34
    xuanbg  
       2020-11-30 07:53:04 +08:00
    无视就行了,你无论怎么做都会有这么多的登录失败的。
    Mithril
        35
    Mithril  
       2020-11-30 08:44:02 +08:00
    难道只有我一个人是直接用防火墙规则封了所有端口,只用网页 terminal 登录的么。。。
    除非特别麻烦的活,到时候临时开条规则就行了。
    主要是那么多 log 看着太烦了。
    LokiSharp
        36
    LokiSharp  
       2020-11-30 08:56:46 +08:00
    我这边用 RHEL 所以不是很怕 0day
    isnullstring
        37
    isnullstring  
       2020-11-30 09:02:49 +08:00
    私钥登录,省事
    totoroyyw
        38
    totoroyyw  
       2020-11-30 09:25:24 +08:00
    闲着无聊可以试试给 ssh 加 2FA,类似 libpam-google-authenticator
    raptor
        39
    raptor  
       2020-11-30 09:27:00 +08:00
    基本上改端口能去掉 90%以上的扫描,禁止 ROOT 登录又能去掉一大部分,再关闭密码登录以后,fail2ban 每天就只有一两个 IP 被 BAN 的了。

    攻击者也要考虑的成本的嘛,除非你的网站真的值得他们花这个成本去弄,那你估计也不差钱,可以上更好的商业解决方案了。
    scegg
        40
    scegg  
       2020-11-30 09:45:05 +08:00
    没所谓的。只要你的密码不是在密码表上的,而且你也不是重点目标,那就是一个“常规闲人扫描”,对你服务器的影响也几乎可以忽略。
    bigtotoro
        41
    bigtotoro  
       2020-11-30 09:50:32 +08:00
    很常见, 没事儿
    xz410236056
        42
    xz410236056  
       2020-11-30 10:08:40 +08:00
    我家 nas 每天都有个几十条。太正常了。
    40EaE5uJO3Xt1VVa
        43
    40EaE5uJO3Xt1VVa  
       2020-11-30 10:42:02 +08:00
    改 10000 以上端口能屏蔽一半的脚本扫描

    12+位大小写数字符号的强密码能屏蔽剩下的 99%

    密钥登录、指定 IP 登陆或者 vpn 登陆能屏蔽最后的 1%

    一般强密码就足够了。除非是专门针对你的,恶意集中爆破你的 ssh 端口,都影响到你登录了。
    Ayahuasec
        44
    Ayahuasec  
       2020-11-30 10:50:54 +08:00
    闲置的 VPS 如果确实没有服务跑在上面,又是优惠的 plan 不舍得销毁的话,为什么直接不关机呢?等到哪天要用的时候再开开不就行了。。。
    leavic
        45
    leavic  
       2020-11-30 11:13:18 +08:00
    我觉得脑子正常的人写的扫描脚本,碰上密钥登录的都应该自动放弃吧。
    godblessumilk
        46
    godblessumilk  
       2020-11-30 13:18:06 +08:00 via Android
    @monkey110 老哥的滑稽咋输入的?
    dndx
        47
    dndx  
       2020-11-30 13:19:51 +08:00
    扫描太正常了,只要禁用密码登录,更新 OpenSSH 版本,没有什么好怕的。

    如果实在是强迫症,可以上 port knocking 。但是相信我,如果 OpenSSH 爆出什么 0day,有无数个网站要比你先倒霉。
    godblessumilk
        48
    godblessumilk  
       2020-11-30 13:21:08 +08:00 via Android
    @Ayahuasec 可能在挖矿
    shenyuzhi
        49
    shenyuzhi  
       2020-11-30 13:37:30 +08:00   ❤️ 1
    禁止密码登陆,只允许密钥登录,就妥了。
    我以前的一台 vps,登录日志把硬盘都塞满了。
    est
        50
    est  
       2020-11-30 13:43:14 +08:00
    要不换个思路,任意密码都能登陆。只不过登陆进去就只显示一个欢迎信息什么也做不了。
    crasa
        51
    crasa  
       2020-11-30 13:44:13 +08:00
    恭喜
    loginv2
        52
    loginv2  
       2020-11-30 14:27:25 +08:00
    云平台有安全组控制的 API,可以申请一个控制策略,每次登录前把自己 IP 加进去,然后启动 ssh 。不需要了 就关闭,这样对外不开放端口,只有用的时候才开
    festoney8
        53
    festoney8  
       2020-11-30 14:39:17 +08:00   ❤️ 1
    way2create
        55
    way2create  
    OP
       2020-12-02 21:01:07 +08:00
    @codyfeng 我自己加了一些规则的

    谢谢诸位的回答 大概了解了 端口早就改成 10000 以上的随便 1 个 居然还会被人一直尝试 不过感觉不是恶意针对的话也无所谓了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2703 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 15:12 · PVG 23:12 · LAX 07:12 · JFK 10:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.