这是一个创建于 460 天前的主题,其中的信息可能已经有所发展或是发生改变。
每开一台新 VPS ,只要不更换 ssh 默认端口,必然会有一大堆的恶意尝试登录请求。
我以前都不去管的,后来发现/var/log/btmp 这个记录登录失败的文件,总是膨胀特别快。
无奈加了 fail2ban ,但其实指标不治本,这个软件只能阻止历史 IP ,每天还是有一大堆新 IP 来污染日志。
同在互联网,大家就不能友善一点吗?盲猜 SSH 密码,纯属瞎猫抓死耗子,吃力不讨好。
 | 1 churchmice 2024-07-08 09:42:37 +08:00 你这个想法就不对了 现在的互联网哪还有友善直说,现在无非都是流量黑产作祟,你见过还有几个真真切切的是无私分享的 端口扫描本来就无法阻止 |
 | 2 tool2dx OP |
 | 4 BadFox 2024-07-08 09:55:05 +08:00 端口扫描从来都是难以遏制的,互联网上一大堆自动化扫描+漏洞利用脚本,跟他们讲友善与否纯粹是对牛弹琴....最近还有 ssh 的条件竞争漏洞,搞得自动化脚本更凶残了。 顺便你提到了性价比,我觉得你对于性价比的理解有点问题,对他们来说无非是搭个服务器,可能配点地址池对整个公网批量尝试弱口令,这个脚本很难写吗?这成本很高吗?而如果成功爆破到那获取到的是什么呢?一个肉鸡服务器,配置不说,起码有个新的公网 IP 。这实际上是一个性价比很高的行为。 |
 | 5 Steaven 2024-07-08 09:56:11 +08:00  2 免费的肉鸡,免费的矿机,对他们来说香得狠,无非就是暴力猜密码 |
 | 6 w568w 2024-07-08 09:57:10 +08:00 > 每开一台新 VPS 国内 VPS 的常用 IP 段早就加入恶意攻击的目标 IP 库了,怎么换 IP 作用都不大。 > 只要不更换 ssh 默认端口,必然会有一大堆的恶意尝试登录请求 你已经知道解决方案了。 > 同在互联网,大家就不能友善一点吗 从另一个角度来说,每天有人免费帮你做渗透测试,不开心? |
 | 7 zw1027 2024-07-08 09:59:17 +08:00 白名单永远是最好的做法 |
 | 8 ruidoBlanco 2024-07-08 10:00:03 +08:00 以前换端口,现在从来不换。 禁止密码登录,只允许 ssh 组用户登录,把自己加入 ssh 组,完事。 |
 | 9 dbak 2024-07-08 10:07:17 +08:00 防火墙加个白名单不就行了 反正经常登录的地点也就是公司和家里 |
 | 10 liubaicai 2024-07-08 10:10:44 +08:00 装个蜜罐  |
 | 11 Meteora626 2024-07-08 10:11:51 +08:00 你去 502 论坛看看就知道了,那些做灰产的 手头几千几万台机器 都不是啥很高深的黑客就是纯扫,想变现还怕违大法 |
 | 13 Goooooos 2024-07-08 10:17:13 +08:00 换端口也被扫,我的 LA 的 VPS 换了高位端口也天天被扫 |
 | 14 adoal 2024-07-08 10:19:26 +08:00 因为,不会搞 public key 或者不愿搞的用户很多很多…… |
| 15 adoal 2024-07-08 10:21:42 +08:00 @adoal 想想看甚至有很多人会把 MySQL 甚至 Redis 、MongoDB 、ES 的服务直接暴露在公网上并且没做网络限制和认证限制 |
| 16 tool2dx OP |
 | 17 Metre 2024-07-08 10:28:29 +08:00 个人用户的话,我是这么解决的 1. ipset 把自己所在的省份 IP 加入白名单,其他黑名单. 扫描数可以降至个位数. 2. 关闭外网 ssh 端口开放,安装 xray,sing-box 等.在客户端本地端口转发登录 ssh. |
 | 18 wowawesome 2024-07-08 10:29:50 +08:00 黑客个屁,脚本小子罢了 |
 | 19 Kinnice 2024-07-08 10:34:10 +08:00 Port knocking |
 | 20 hi2hi 2024-07-08 10:47:26 +08:00 人善被人骑 |
| 21 w568w 2024-07-08 10:50:54 +08:00 @besto 你说得对。其实还有几个思路: 1. Port knocking 2. 自动定期换端口 3. Virtual LAN 层( Tailscale ,Zerotier ),然后关闭外网访问 4. 用小众远程控制协议,例如 mosh |
 | 23 dhb233 2024-07-08 11:09:57 +08:00 扫描端口性价比不低啊,IPv4 的公网地址又不多,开放 ssh 的更少了 |
 | 25 dapang1221 2024-07-08 11:46:31 +08:00 换端口,改证书登录 再不嫌麻烦的话,搭 vpn ,先连进内网,再 ssh 登录 |
 | 26 coldle 2024-07-08 12:13:42 +08:00 via Android 白名单很有必要,# 17 的省份白名单就是侵入性小且效果显著的方案 |
 | 27 yanqiyu 2024-07-08 12:16:54 +08:00 改成 pubkey 登录之后就让他扫呗,只要 key 不泄露怕啥 |
 | 28 VYSE 2024-07-08 15:23:07 +08:00 用 V2RAY 做代理 |
 | 29 fatekey 2024-07-08 15:32:25 +08:00 不想被扫就换端口呗,广撒网的一般只扫默认端口。 |
 | 30 txzh007 2024-07-08 16:25:15 +08:00 搞个 5 位端口 求他扫 |
 | 31 Folder 2024-07-08 16:31:06 +08:00 1 端口号设大点. 我之前 fail2ban 一万多条尝试登陆失败的记录, 后来端口号从原来的 8xxx 换成了 5xxxx, 那之后一个扫端口的记录都没了. |
 | 32 zed1018 2024-07-08 17:11:17 +08:00 1 用 level3 的 ipsum 列表做 block ,会好非常多。当然你要是性能好用 level1 的也可以。 https://github.com/stamparm/ipsum/blob/master/levels/3.txt |
| 33 tool2dx OP |
| 34 zed1018 2024-07-08 17:21:08 +08:00 @tool2dx #31 我没实际测试过,但是网上的说法是千百条不是很要紧上万就看性能了,所以我选 level3 原因就是因为这个级别大概保持在 15000 左右。 |
 | 35 daisyfloor 2024-07-08 19:32:50 +08:00 用 key 私钥文件验证登录是不是就没什么问题了? |
 | 36 cnt2ex 2024-07-08 19:53:25 +08:00 @daisyfloor 但依然会有连接失败的记录 |
 | 37 Remember 2024-07-08 19:58:33 +08:00 1 你还 too young ,事实上 ssh 扫描这事儿,从 ssh 协议发明以来就广泛存在了,属于互联网背景噪音,类似宇宙背景辐射这种,已经是网络基础架构的一部分了。 |
 | 38 TianDogK48 2024-07-08 20:27:54 +08:00 2 @tool2dx iptables 不用导入几万条,用 ipset 存 ip ,iptables 加一条 ipset 的规则就行。 |
| 40 daisyfloor 2024-07-08 20:56:42 +08:00 @cnt2ex 那无所谓了,让他扫呗 |
 | 41 imlonghao 2024-07-08 21:14:57 +08:00 我最近从几个源整合了个 IP 黑名单列表,然后通过 BGP 分发给我的 VPS 们,把路由指向了黑洞地址 https://cdn.sa.net/2024/07/08/L573m4rWDuioCSj.jpg |
 | 42 guo4224 2024-07-09 09:13:22 +08:00 via iPhone 1 你端口都开了,凭什么不让人访问… |
 | 43 GBdG6clg2Jy17ua5 2024-07-09 09:25:40 +08:00 白名单,首先公司基本是固定地址,然后家里的,限制到 16 位网段,基本扫描为零了。 |
 | 44 424778940 2024-07-09 09:39:57 +08:00 5 位端口+1 之前有些乞丐配置 vps 甚至都被他扫死机了, 换了之后就基本没有记录了 |
Select Language