V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NGINX
NGINX Trac
3rd Party Modules
Security Advisories
CHANGES
OpenResty
ngx_lua
Tengine
在线学习资源
NGINX 开发从入门到精通
NGINX Modules
ngx_echo
1mayi
V2EX  ›  NGINX

我的服务器是公共厕所

  •  
  •   1mayi · 2021-01-01 19:40:58 +08:00 · 9658 次点击
    这是一个创建于 512 天前的主题,其中的信息可能已经有所发展或是发生改变。

    用了 google cloud 以后 cpu 过一段时间就会飙升一次,一直很纳闷。 以前从来没看过 nginx 日志,今天一看惊呆了,有不停换 ip 尝试登陆的,有尝试获取 phpmyadmin 地址的。 仅仅一天的日志 90%以上都是各种使坏的。

    135.181.10.248 - - [01/Jan/2021:02:50:05 +0000] "GET /phpmyadmin HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    135.181.10.248 - - [01/Jan/2021:02:50:05 +0000] "GET /?/phpmyadmin HTTP/1.1" 200 6487 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:51:03 +0000] "GET /phpmyadmin HTTP/1.1" 301 5 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:51:03 +0000] "GET /phpmyadmin HTTP/1.1" 404 3422 "https://gotomorrow.dev:443/phpmyadmin" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    135.181.10.248 - - [01/Jan/2021:02:51:06 +0000] "GET /phpmyadmin HTTP/1.1" 301 5 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    135.181.10.248 - - [01/Jan/2021:02:51:07 +0000] "GET /phpmyadmin HTTP/1.1" 404 3422 "https://gotomorrow.dev:443/phpmyadmin" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:52:24 +0000] "GET /myadmin HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:52:24 +0000] "GET /mysql HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:52:24 +0000] "GET /mysqladmin HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:52:25 +0000] "GET /db HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:52:25 +0000] "GET /sqladmin HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:52:26 +0000] "GET /pma HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:52:26 +0000] "GET /phpmy HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    85.114.138.138 - - [01/Jan/2021:02:52:27 +0000] "GET /phpmanager HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
    
    13.233.145.199 - - [01/Jan/2021:04:28:59 +0000] "GET /zh/wp-login.php HTTP/1.1" 200 2749 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    13.233.145.199 - - [01/Jan/2021:04:29:13 +0000] "POST /zh/wp-login.php HTTP/1.1" 200 2873 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    13.233.145.199 - - [01/Jan/2021:04:29:23 +0000] "POST /zh/xmlrpc.php HTTP/1.1" 200 412 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    
    53 条回复    2021-01-03 20:10:30 +08:00
    iXingo
        1
    iXingo  
       2021-01-01 19:44:14 +08:00
    正常,我也是。而且我在 /var/log/auth.log 上面还看到每天都有人在暴力破解 ssh 登录 :(
    kidlj
        2
    kidlj  
       2021-01-01 19:44:32 +08:00   ❤️ 14
    第一天用服务器?

    sudo cat /var/log/secure 有更多惊喜。
    codehz
        3
    codehz  
       2021-01-01 19:44:40 +08:00
    坐下,基本操作。
    是个 web 服务器都会有这种自动化扫描的
    LnTrx
        4
    LnTrx  
       2021-01-01 19:44:59 +08:00
    开放 IP 直接访问 80 的的话都是这样,毕竟为了各种原因把有效的公网 IPv4 全扫一遍在时间上是可行的。
    Ptu2sha
        5
    Ptu2sha  
       2021-01-01 20:22:21 +08:00
    。。还是太年轻 等你手里有一堆服务器 看日志就不奇怪了
    甚至可以写规则逗逗这些扫描器
    yanzhiling2001
        6
    yanzhiling2001  
       2021-01-01 20:35:24 +08:00
    被扫这种事,习惯就好了,就像是你开了一个门头,不断有人进出,也有不怀好意的人盯着
    WIAIHE
        7
    WIAIHE  
       2021-01-01 20:37:27 +08:00   ❤️ 1
    我把博客的 admin 重定向到了 p*o*r*n*h*u*b,然后把 admin 移动到 /awadjaudhiuhfaofhOEHefhiuHSD/admin
    paperseller
        8
    paperseller  
       2021-01-01 20:45:23 +08:00 via Android
    @kidlj 使用这行命令看到今早 7:19 至 7:32 有异常的登录尝试,本人当时还在睡觉。看起来登录成功了?
    Jan 1 07:27:42 107 sshd[8378]: Accepted publickey for root from xxx.xxx.xxx.xxx port xxxxx ssh2: RSA SHA256:....
    再看到 root 目录多了一个名为 virt-sysprep-firstboot.log 的日志文件,查看日志存在一个 /usr/lib/virt-sysprep 的文件夹以及子目录有 sh 文件和空的 scripts 文件夹。但是我开了私钥登录而且关闭了密码登录,这还是被入侵了?
    kidlj
        9
    kidlj  
       2021-01-01 21:07:57 +08:00   ❤️ 1
    @paperseller "Accepted publickey for root" 就是代表 root 登录成功了,但不代表是被攻击了,可能是自己登录的。另外搜索了一下 virt-sysprep-firstboot.log 文件,似乎是 RH 的自带日志。
    paperseller
        10
    paperseller  
       2021-01-01 21:17:12 +08:00 via Android
    @kidlj 非常感谢。看了下登录的 ip,应该是自己另一个住址的 ip,然后搜索了下 virt-sysprep,跟 kvm 虚拟机备份克隆有关。可能是虚惊一场。
    Yien
        11
    Yien  
       2021-01-01 21:18:35 +08:00
    gcp 不都是 sshkey 登入吗?
    YouLMAO
        12
    YouLMAO  
       2021-01-01 21:21:07 +08:00 via Android
    服务器时间并非北京的时间,可能是巴拿马的
    opengps
        13
    opengps  
       2021-01-01 21:22:04 +08:00 via Android
    习惯就好,这就是真实的公网环境
    helloworld000
        14
    helloworld000  
       2021-01-01 21:35:44 +08:00
    关闭 ssh root 和密码登陆,只用 public key 登陆会安全很多
    liuqi0270
        15
    liuqi0270  
       2021-01-01 21:40:11 +08:00 via iPhone
    我都不敢看日志。哈哈
    matrix67
        16
    matrix67  
       2021-01-01 21:43:19 +08:00
    1. 改端口
    2. 安全组白名单
    oreoiot
        17
    oreoiot  
       2021-01-01 21:44:36 +08:00 via iPhone
    我之前白嫖的良心云端云主机,不知道有没有成为人的肉鸡干过坏事,到期后果断没有续。没有安全意识我还是不要搞的好。
    我的 Windows 远程桌面口令很弱,估计都被破解好几轮了,目前没发现异常也没有管。
    yfwl
        18
    yfwl  
       2021-01-01 21:53:37 +08:00
    很正常的啊 哈哈
    zszhere
        19
    zszhere  
       2021-01-01 21:57:29 +08:00 via iPhone
    这很正常 僵尸网络主机的常规操作 批量爆破 批量打 exp
    icreeper
        20
    icreeper  
       2021-01-01 22:08:11 +08:00 via iPhone
    很正常,我就是把 22 关了还有人试我 22 端口
    z775781
        21
    z775781  
       2021-01-01 22:18:02 +08:00
    你去 grep 这个扫描的 ip,甚至能看到很多 cms 的 exp 之类的
    masker
        22
    masker  
       2021-01-01 22:35:11 +08:00 via Android
    那你不适合用 VPS
    Jooooooooo
        23
    Jooooooooo  
       2021-01-02 00:43:57 +08:00
    ip4 的地址太少了, 使得全网扫描变得可能
    miaomiao888
        24
    miaomiao888  
       2021-01-02 00:47:00 +08:00   ❤️ 1
    别服务器了,就家里电脑自从有了公网也天天被扫
    lada05
        25
    lada05  
       2021-01-02 03:10:29 +08:00
    @miaomiao888 #24 那要做哪些安全设置啊?这段时间玩 PT,也准备申请公网 IP 呢
    S179276SP
        26
    S179276SP  
       2021-01-02 03:23:39 +08:00 via Android
    你可以把登陆 ip 复制到 abuse ip info 网站搜索,基本上不同国家都有举报的。
    miaomiao888
        27
    miaomiao888  
       2021-01-02 03:51:17 +08:00
    @lada05 装个防火墙应该能拦住,我自己用的 netlimiter
    t6attack
        28
    t6attack  
       2021-01-02 05:38:15 +08:00
    暴露在公网上机器就是这样,没人连接才有问题。
    造成公网上大部分扫描的,不是“人”而是“蠕虫病毒”。比如:编写一个 ssh 弱口令蠕虫极其简单,所以数量根本无法统计。 大部分 v 友,简单研究下,就能用自己擅长的语言写出来。
    至于能传播多广,主要看蠕虫携带的 密码库 和 扫描策略 是否有效。
    dream4ever
        29
    dream4ever  
       2021-01-02 08:49:50 +08:00
    所以要用 fail2ban,把这种扫描主机的 IP 都屏蔽掉。而且 fail2ban 是基于日志的,可以各种自定义,建议研究研究。
    manami
        30
    manami  
       2021-01-02 11:42:56 +08:00
    哈哈这个标题
    asche910
        31
    asche910  
       2021-01-02 11:59:43 +08:00
    这不家常便饭吗
    UnknownSky
        32
    UnknownSky  
       2021-01-02 12:51:42 +08:00 via Android
    fail2ban,一次錯誤封永久。關閉 SSH 外網訪問,SSH 透 VPN 連接
    black11black
        33
    black11black  
       2021-01-02 13:06:07 +08:00 via Android
    可见 lz 机器一直没有防护裸奔到现在。。没被打下来属于运气较好
    Kaciras
        34
    Kaciras  
       2021-01-02 13:11:59 +08:00
    人家只是敲门而已,还没进去拉屎呢,把门锁好就行了。
    learningman
        35
    learningman  
       2021-01-02 13:29:38 +08:00
    @UnknownSky 一次错误就把自己给放逐了。。。
    hd2ex
        36
    hd2ex  
       2021-01-02 13:36:53 +08:00
    too young too simple
    Lemeng
        37
    Lemeng  
       2021-01-02 14:39:22 +08:00
    正常,如果没有这些,可能才不正常
    patrickyoung
        38
    patrickyoung  
       2021-01-02 14:41:33 +08:00 via iPhone
    我都是直接 endlessh,然后扫描的直接送 gzip bomb
    fumichael
        39
    fumichael  
       2021-01-02 14:48:02 +08:00
    表示第一次看也是惊到了,但是一想我只有 Java 环境呀,都没 PHP 环境,怕个锤子哦
    dangyuluo
        40
    dangyuluo  
       2021-01-02 14:52:29 +08:00
    sshguard + fail2ban 一套
    UnknownSky
        41
    UnknownSky  
       2021-01-02 16:07:17 +08:00 via Android
    @learningman ssh 連接軟體都設定好的,沒關係。再說很少從外網連線
    Whalko
        42
    Whalko  
       2021-01-02 16:28:47 +08:00
    请问怎么看 nginx 日志?
    byte10
        43
    byte10  
       2021-01-02 17:29:46 +08:00
    @lada05 PT 要有公网才行吗
    byte10
        44
    byte10  
       2021-01-02 17:30:30 +08:00
    建议开一个 VPN 就得了,一切内网操作,应该挺好的
    1mayi
        45
    1mayi  
    OP
       2021-01-02 17:49:15 +08:00   ❤️ 1
    @Whalko /var/log/nginx/access.log
    ttyhtg
        46
    ttyhtg  
       2021-01-02 19:41:23 +08:00
    每次登录都提示有几万次的尝试登录错误
    tubowen
        47
    tubowen  
       2021-01-02 20:08:05 +08:00
    我的腾讯云服务器也是,一直有人尝试 ssh 爆破登录,改了 ssh 端口之后就没了
    tubowen
        48
    tubowen  
       2021-01-02 20:08:44 +08:00
    Huelse
        49
    Huelse  
       2021-01-02 20:13:36 +08:00
    lastb | wc -l

    看看你被尝试 ssh 登录了几次,以前有台闲置的服务器没管,兴趣使然查了下,被尝试登陆 10w+次
    Mac
        50
    Mac  
       2021-01-02 21:41:40 +08:00   ❤️ 1
    如果你的网站不是 wordpress 架的,那么用 fail2ban 封掉一切 wordpress 特征就能干掉绝大部分扫描机
    maypu
        51
    maypu  
       2021-01-02 22:23:15 +08:00 via Android
    语言直接扫 zn 开头的可太秀了,看起来应该是国人干的
    Flash1
        52
    Flash1  
       2021-01-02 23:15:40 +08:00
    看到这个贴想起 22 端口没改,一看安全记录好几十页长。把 ssh 默认端口换了,防火墙关闭 22 端口后,安全 log 基本没新记录了
    xyz1396
        53
    xyz1396  
       2021-01-03 20:10:30 +08:00
    以前我的路由器换了公网 ip 也这样 233333
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1510 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 17:57 · PVG 01:57 · LAX 10:57 · JFK 13:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.