社区 › 电脑讨论(新) › 现在肉鸡太多了，防不胜防

blanksign 发表于 2025-2-12 01:55

现在肉鸡太多了，防不胜防

本帖最后由 blanksign 于 2025-2-13 22:08 编辑


我说怎么看到CPU忽高忽低的，上去一看就发现一片红彤彤的login failure for user root from 183.52.220.96 via ssh。也没啥规律，从2025-02-12 01:07:44开始到2025-02-12 01:39:28 ban禁，尝试了2810次，放的白名单范围有点大了，懒得改默认端口。


2025-02-13 22:08 ban了一天，都没有后续动作，看样子人为操作概率比较大？？？

gg骄 发表于 2025-2-12 02:16

不明觉厉      

老饭 发表于 2025-2-12 02:31

为啥要对外开ssh

blanksign 发表于 2025-2-12 02:37

老饭 发表于 2025-2-12 02:31
为啥要对外开ssh

有在外管理的需要，肯定开ssh啊。

老饭 发表于 2025-2-12 03:07

blanksign 发表于 2025-2-12 02:37
有在外管理的需要，肯定开ssh啊。

wg进去再ssh啊

blanksign 发表于 2025-2-12 08:29

老饭 发表于 2025-2-12 03:07
wg进去再ssh啊

那我是用手机呢？还是用路由器呢？还是用电脑呢？

linkang520 发表于 2025-2-12 09:47

RouterOS三步敲门登录法
https://www.irouteros.com/?p=2917

Mufasa 发表于 2025-2-12 09:55

不要用22端口做SSH

如果一定要22端口，必须强密码

几千次登录倒是没啥，我那些云服务器基本都这样
后来我在云服务器的防火墙里面吧22端口的放行规则删了
等需要管理的时候再加回去就好。。。。

casc 发表于 2025-2-12 10:04

ssh 22端口有些都不让开放 我现在设置密码都是直接生成一个16位的大小写字母数字特殊字符混和的 自己都记不住

wish 发表于 2025-2-12 10:07

这有什么稀奇的，家里的的服务器3389 改了端口 ，每天几千次暴力尝试

AAGun 发表于 2025-2-12 10:13

在阿里云的主机个人经验是修改成SSH证书登录，能少很多这种肉鸡尝试登录的情况。

Jerryhze 发表于 2025-2-12 10:36

直接开ssh=等着被爆破

blanksign 发表于 2025-2-12 11:07

linkang520 发表于 2025-2-12 09:47
RouterOS三步敲门登录法
https://www.irouteros.com/?p=2917

懒人表示，记不住。

blanksign 发表于 2025-2-12 11:09

Mufasa 发表于 2025-2-12 09:55
不要用22端口做SSH

如果一定要22端口，必须强密码


怎么说呢，懒人懒得改，而且，也仅有昨晚会有这个记录，以往都没碰到这个。

tedsun 发表于 2025-2-12 11:12

blanksign 发表于 2025-2-12 11:13

casc 发表于 2025-2-12 10:04
ssh 22端口有些都不让开放 我现在设置密码都是直接生成一个16位的大小写字母数字特殊字符混和的 自己都记不 ...

复杂密码是一回事，人家可能是撞库爆破，一直在尝试，一直产生新的connection，CPU资源就这样被消耗没了，上了ban list之后，几分钟后就没动静了。

blanksign 发表于 2025-2-12 11:14

wish 发表于 2025-2-12 10:07
这有什么稀奇的，家里的的服务器3389 改了端口 ，每天几千次暴力尝试

确实没啥稀奇的，带公网IP的机器，就要承受这些东西。

blanksign 发表于 2025-2-12 11:16

Jerryhze 发表于 2025-2-12 10:36
直接开ssh=等着被爆破

不不不，应该说，带公网的设备，都容易被爆破盯上。
就算你换端口，不开SSH，还有其他的端口和功能被尝试，上面的回复还有mstsc的被尝试。

blanksign 发表于 2025-2-12 11:17

tedsun 发表于 2025-2-12 11:12
我家里的服务器开3389被勒索了
现在都不开，virtual private net回家登

心疼你一秒，还好我没有dstnat出去。基本都是内网互联。

ishadow 发表于 2025-2-12 11:47

把除了winbox的服务通通关了

Montelucast 发表于 2025-2-12 11:49

你把账号密码全部取消就行了，只用key

年轻的樵夫 发表于 2025-2-12 11:53

有个简单并有一定效果的方式，把端口改为非常用端口，然后把尝试链接22端口的全部自动拉黑名单

blanksign 发表于 2025-2-12 11:54

ishadow 发表于 2025-2-12 11:47
把除了winbox的服务通通关了

你是真的以为只留winbox就没有这类爆破的问题？？？

blanksign 发表于 2025-2-12 11:56

年轻的樵夫 发表于 2025-2-12 11:53
有个简单并有一定效果的方式，把端口改为非常用端口，然后把尝试链接22端口的全部自动拉黑名单 ...

那你确实想多了，我又不是没改过，从bigcat的CTS穿透，更换端口的，照样被尝试登录。现在CTS自身做了防护，已经不怎么看到这个log了。

年轻的樵夫 发表于 2025-2-12 12:05

blanksign 发表于 2025-2-12 11:56
那你确实想多了，我又不是没改过，从bigcat的CTS穿透，更换端口的，照样被尝试登录。现在CTS自身做了防护 ...

尝试链接常用端口的IP上来就被BAN了，还怎么尝试登陆？除非能绕过防火墙

blanksign 发表于 2025-2-12 12:16

年轻的樵夫 发表于 2025-2-12 12:05
尝试链接常用端口的IP上来就被BAN了，还怎么尝试登陆？除非能绕过防火墙

所以直接给它上ban list，后面都没动静。

ishadow 发表于 2025-2-12 14:15

blanksign 发表于 2025-2-12 11:54
你是真的以为只留winbox就没有这类爆破的问题？？？

难道不比门户大开的好？关了后这些扫描爆破就没了，想要访问方法多的是，没必要直接开放ssh

blanksign 发表于 2025-2-12 14:19

ishadow 发表于 2025-2-12 14:15
难道不比门户大开的好？关了后这些扫描爆破就没了，想要访问方法多的是，没必要直接开放ssh ...

你是真一点都不给自己留活路啊。。。

ishadow 发表于 2025-2-12 14:25

blanksign 发表于 2025-2-12 14:19
你是真一点都不给自己留活路啊。。。

一些基本的防火墙策略还是要添加的，ros难道不是设置完后就忘记这玩意存在的吗

blanksign 发表于 2025-2-12 14:29

ishadow 发表于 2025-2-12 14:25
一些基本的防火墙策略还是要添加的，ros难道不是设置完后就忘记这玩意存在的吗 ...

我确实是忘记它的存在，要不是看到zabbix里面cpu突然70%，我也不会关注到它。

查看完整版本: 现在肉鸡太多了，防不胜防