V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
tubowen
V2EX  ›  Linux

腾讯云的服务器总被人尝试爆破登录,有什么防御方法,反击手段吗

  •  
  •   tubowen · 2020-12-31 13:03:01 +08:00 · 7993 次点击
    这是一个创建于 1184 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2020-12-31 19:32:53 +08:00
    还是改端口方便省事,开启 fail2ban 还是有很多 IP 尝试爆破,不知道哪来的这么多 ip
    58 条回复    2021-01-04 14:55:58 +08:00
    XiaoXiaoNiWa
        1
    XiaoXiaoNiWa  
       2020-12-31 13:08:06 +08:00 via Android   ❤️ 3
    fail2ban
    felixcode
        2
    felixcode  
       2020-12-31 13:08:17 +08:00
    fail2ban
    蜜罐
    tiramice
        3
    tiramice  
       2020-12-31 13:09:46 +08:00 via iPhone
    禁掉密码登录
    tubowen
        4
    tubowen  
    OP
       2020-12-31 13:12:26 +08:00 via Android
    @XiaoXiaoNiWa
    @felixcode
    好的我去试试
    westoy
        5
    westoy  
       2020-12-31 13:19:53 +08:00
    换个端口+证书登录就行了
    feng12345
        6
    feng12345  
       2020-12-31 13:24:40 +08:00
    反击的手段没有,只有把端口号拉到 5 万多,然后换成证书登录
    y10210118
        7
    y10210118  
       2020-12-31 13:27:26 +08:00 via iPhone
    我觉得重点还是自己做好防护,把一些基本的安全基线配置好,暴力破解的问题就是弱口令,所以建议设置个强壮点的密码,另外可以的话建议把默认端口换换,基本就能避免大部分的暴力破解。
    yveJohn
        8
    yveJohn  
       2020-12-31 13:39:15 +08:00
    证书登录或者 IP 白名单
    chendy
        9
    chendy  
       2020-12-31 13:52:34 +08:00
    换高位端口不用默认的 22
    配安全组只能特定 ip 访问,比如只能公司网络访问
    禁止密码登录
    fail2ban
    liuze0109
        10
    liuze0109  
       2020-12-31 14:11:25 +08:00
    fail2ban 就可以
    opengps
        11
    opengps  
       2020-12-31 14:13:22 +08:00   ❤️ 2
    公网扫描器爆破器横行,拿到服务器最基本的就是:1,避免使用公网端口连接,如果不行,那么 2,使用非常规端口登录,另外需配合 3:使用证书,ip 白名单等方案。
    至于 fail2ban 则是另一个处理思路,可以兼顾多用一层
    dier
        12
    dier  
       2020-12-31 14:28:45 +08:00
    如果不怕麻烦,每次用完远程之后到控制台的安全组中把远程登录端口屏蔽,使用的时候再打开
    zpfhbyx
        13
    zpfhbyx  
       2020-12-31 14:30:26 +08:00
    2fa 啊
    Felldeadbird
        14
    Felldeadbird  
       2020-12-31 14:43:42 +08:00
    写一个假的 SSH 登录程序。给一个弱口令。然后再写一个假的 进程输出,ls 文件输出。然后记录对方的操作。 然而没什么用……

    防御手段,换端口啊,上证书,白名单登录……
    gwind
        15
    gwind  
       2020-12-31 14:44:12 +08:00   ❤️ 1
    基本但有效的防御方法:

    1. 修改 sshd 默认端口 22 为其他
    2. 增加一个重复登录日志 IP 扫描的程序,会自动扫描安全日志,把失败的 IP 添加到一个列表,然后在 linux /etc/hosts.deny 加上即可

    其他方案可以考虑:

    1. 使用一个安全隧道,sshd 只监听本地,通过安全隧道和客户端转发,达到登录的目的(亲测,香港的 Linux 服务器直接 ssh 登录非常慢。自己用 otunnel ( github.com/ooclab/otunnel ) 转发 sshd 端口到本地登录,体验飞起。只要是自定义(协议比较小众)的安全隧道(要加密,否则 ssh 前面的握手协议是透明的,容易被干扰)转发,应该都 OK 。
    2. 换 openssh 为其他的可替代产品,如 teleport
    3. 其他不知道
    gwind
        16
    gwind  
       2020-12-31 15:05:08 +08:00
    补充一下:上面我给一个方案里提到自定义协议的(小众)安全隧道可以保证服务端口安全( sshd 只需要监听本地,其他任何服务也可以考虑这样,比如 redis ),也可以“提速”(仅限跨 FW )。如果想做到更好的协议混淆,安全隧道的加密,最好不要用 TLS,直接使用 AES,两边自定义一个加密字符串即可。
    Lemeng
        17
    Lemeng  
       2020-12-31 15:14:34 +08:00
    fail2
    端口
    证书
    没其他法
    就跟走在路上,别人非要给你一拳。只能防,没法不让别人打你
    whitefox027
        18
    whitefox027  
       2020-12-31 15:14:41 +08:00
    我记得腾讯云有个小程序可以随时控制端口安全组的策略
    laminux29
        19
    laminux29  
       2020-12-31 15:15:35 +08:00   ❤️ 1
    早说过了,端口和用户名都不用改,甚至 hash 值直接公开到网站首页,让它去碰撞。这些靠猜测的都是些小学生黑客,以为挂本字典或穷举就能破解的。等你离婚证都一斤重了,他破解进程都还没到亿亿万分之一。
    SunoAries
        20
    SunoAries  
       2020-12-31 15:47:47 +08:00
    蜜罐加溯源?
    huaxing0211
        21
    huaxing0211  
       2020-12-31 16:04:56 +08:00
    只要密码强度够,随意爆,不要怕,再不行换端口,再不行改证书登录。
    stevefan1999
        22
    stevefan1999  
       2020-12-31 16:21:04 +08:00
    搞個 VPN 啊
    不是那種出國的 是返回本質的那種 Road Warrior VPN
    alect
        23
    alect  
       2020-12-31 16:22:12 +08:00
    换个端口,改证书登录。
    stevefan1999
        24
    stevefan1999  
       2020-12-31 16:23:03 +08:00
    譬如說用 Pritunl/WireGuard 搞個 VPN 閘道然後定義用戶 /組能取用的資源
    Pritunl: https://pritunl.com
    stevefan1999
        25
    stevefan1999  
       2020-12-31 16:25:14 +08:00
    你的 SSH 就只在內網走就行了 閘道加個 iptables FORWARD/SNAT 還是可以遠程用 VPN 再使用內部 ip 連接的
    YouLMAO
        26
    YouLMAO  
       2020-12-31 16:50:12 +08:00
    大哥, security group 规则是强制的, 为啥腾讯云不知道呢
    tokyo2020
        27
    tokyo2020  
       2020-12-31 16:58:05 +08:00
    可以设置 2FA Authentication
    lawler
        28
    lawler  
       2020-12-31 17:18:27 +08:00   ❤️ 1
    @Felldeadbird #14
    学习了,这样我就能通过钓鱼执法的方式,get 到别人钓鱼的方式,然后再去钓其他人。
    xsqfjys
        29
    xsqfjys  
       2020-12-31 17:25:43 +08:00
    只要你是随机复杂密码,让他破解一百年先
    Mac
        30
    Mac  
       2020-12-31 17:32:18 +08:00
    改端口可以避免 99.99%的扫描,改了端口还被人搞,那是有人盯上你了。
    aaa5838769
        31
    aaa5838769  
       2020-12-31 18:21:00 +08:00
    修改 ssh 端口,防火墙配置个 ip 白名单,基本能解决你这个问题了。
    love
        32
    love  
       2020-12-31 19:17:45 +08:00 via Android
    只要你是强密码,完全不用管,别人瞎试密码又不可能进去。实在觉得碍眼就禁了密码登录。
    mostkia
        33
    mostkia  
       2020-12-31 20:18:21 +08:00
    webssh,把 22 端口关了即可,当然你如果用弱密码,什么操作都白搭,如果只是不想看键 ssh 里面大量的爆破记录烦心,可以试试这个方案
    jzmws
        34
    jzmws  
       2020-12-31 20:27:06 +08:00
    换端口可以解决 99% 的问题 我现在公司都禁止用默认端口了
    bbbb
        35
    bbbb  
       2020-12-31 21:53:17 +08:00 via iPhone
    用了 fail2ban,查看 iptables 里面的规则,几分钟都没完……最后只能停止!
    BYF
        36
    BYF  
       2020-12-31 22:10:24 +08:00 via Android   ❤️ 1
    修改登录端口,配置文件在 /etc/ssh/sshd.conf
    其中有一行是
    #Port 22
    把前边的#号去了,然后把 22 改成其他的端口号

    注意不要使用常见端口,例如 http 80,https 443,dns 53,ftp 21,数据库 3306 什么的就可以了

    如果你有设置 iptables 或者 firewalld 防火墙的话也要手动放行端口
    之后重启 sshd 服务或者直接重启服务器
    最后,因为你用的是云服务,腾讯云会在你的主机和公网之前设置一层额外的防火墙,也可能叫安全组规则什么的,在那里也要放行相应的端口。

    总体网络应该是这样的
    公网—腾讯云的防火墙—你的系统防火墙—你的主机
    Myprincess
        37
    Myprincess  
       2020-12-31 22:53:09 +08:00
    我也是腾讯云,7 天内有 12000 次攻击。现在每天 1200 多次。
    ClericPy
        38
    ClericPy  
       2020-12-31 23:02:50 +08:00
    我也是, 然后图省事直接禁用密码登录, 上传公钥到后台上就行了
    Yicnam
        39
    Yicnam  
       2020-12-31 23:15:46 +08:00
    DNS ??
    Leon6868
        40
    Leon6868  
       2020-12-31 23:40:38 +08:00
    用蜜罐和弱密码玩爆破者的心态
    tubowen
        41
    tubowen  
    OP
       2020-12-31 23:50:27 +08:00 via Android
    @Myprincess 换 ssh 端口吧,我换端口就没人爆破登录了
    Takamine
        42
    Takamine  
       2021-01-01 08:51:54 +08:00 via Android
    换端口,禁用 root 登录。
    zszhere
        43
    zszhere  
       2021-01-01 11:31:24 +08:00 via iPhone
    换高位端口 + 只允许证书登陆
    nicevar
        44
    nicevar  
       2021-01-01 11:36:17 +08:00
    都是些自动程序,有啥可反击的,很多来暴力尝试的都是已经是肉机,你反击有啥用,还不如改端口,禁止 root 登录,限制各种尝试次数
    fzinfz
        45
    fzinfz  
       2021-01-01 12:19:47 +08:00 via iPhone
    walkersz
        46
    walkersz  
       2021-01-01 14:52:29 +08:00
    换端口+证书登陆+需要时开安全组
    natashahollyz
        47
    natashahollyz  
       2021-01-01 15:29:04 +08:00
    fail 2 ban
    禁密码登录
    禁 root 登录
    把用户名设置得诡异一点,比如 ds43dr4d8k7n 这样(我乱按的),我不信还有人能猜到用户名
    LokiSharp
        48
    LokiSharp  
       2021-01-01 17:46:53 +08:00 via iPhone
    无视就行了,证书登陆等他暴力破解了你都忘了这机器了
    yfwl
        49
    yfwl  
       2021-01-02 02:58:10 +08:00
    改端口加证书登录!
    black11black
        50
    black11black  
       2021-01-02 13:32:08 +08:00 via Android
    @Myprincess 照你这个速度,如果攻击者有一亿台电脑,需要一百万年时间才能攻破一个弱密码,所以安了
    byte10
        51
    byte10  
       2021-01-02 17:43:16 +08:00
    搞一个 VPN,所有操作内网化,可以考虑下,目前连 很多公司都不懂这块,最基本的操作了。主要还是基本知识匮乏
    msg7086
        52
    msg7086  
       2021-01-02 23:59:00 +08:00 via Android
    嗯?你们都用上证书登录了吗?
    我之前看配置感觉特别复杂,所以到现在还在用密钥登录。大兄弟们你们有啥特别方便的证书管理工具和配置教程么
    ggabc
        53
    ggabc  
       2021-01-03 10:15:46 +08:00 via iPhone
    防御是必然,反击就难了,大部分都是匿名甚至肉鸡
    Zikinn
        54
    Zikinn  
       2021-01-03 20:39:33 +08:00
    换端口,开 fail2ban,换证书登录……只能想到这么多了
    zx900930
        55
    zx900930  
       2021-01-03 23:14:03 +08:00
    换端口,只允许证书登陆,隐藏源 ip,至于 fail2ban 证书登陆的情况下没什么必要。
    如果你源站 ip 都被攻击者找到了,证书登陆应该担心的是被 ddos 而不是被入侵。
    googoehl
        56
    googoehl  
       2021-01-04 10:51:44 +08:00
    端口 和 IP 白名单!!!!!!!!!
    Myprincess
        57
    Myprincess  
       2021-01-04 14:26:22 +08:00
    caithink
        58
    caithink  
       2021-01-04 14:55:58 +08:00
    我之前也曾遇到过这种情况。后来,禁止密码登录,改用证书登录后,就好了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2807 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 15:01 · PVG 23:01 · LAX 08:01 · JFK 11:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.