这是一个创建于 129 天前的主题,其中的信息可能已经有所发展或是发生改变。
每开一台新 VPS ,只要不更换 ssh 默认端口,必然会有一大堆的恶意尝试登录请求。
我以前都不去管的,后来发现/var/log/btmp 这个记录登录失败的文件,总是膨胀特别快。
无奈加了 fail2ban ,但其实指标不治本,这个软件只能阻止历史 IP ,每天还是有一大堆新 IP 来污染日志。
同在互联网,大家就不能友善一点吗?盲猜 SSH 密码,纯属瞎猫抓死耗子,吃力不讨好。
46 条回复 • 2024-07-09 11:16:58 +08:00
 |
1
churchmice 129 天前
你这个想法就不对了
现在的互联网哪还有友善直说,现在无非都是流量黑产作祟,你见过还有几个真真切切的是无私分享的 端口扫描本来就无法阻止 |
 |
2
tool2dx OP |
 |
4
BadFox 129 天前
端口扫描从来都是难以遏制的,互联网上一大堆自动化扫描+漏洞利用脚本,跟他们讲友善与否纯粹是对牛弹琴....最近还有 ssh 的条件竞争漏洞,搞得自动化脚本更凶残了。
顺便你提到了性价比,我觉得你对于性价比的理解有点问题,对他们来说无非是搭个服务器,可能配点地址池对整个公网批量尝试弱口令,这个脚本很难写吗?这成本很高吗?而如果成功爆破到那获取到的是什么呢?一个肉鸡服务器,配置不说,起码有个新的公网 IP 。这实际上是一个性价比很高的行为。 |
 |
5
Steaven 129 天前  2
免费的肉鸡,免费的矿机,对他们来说香得狠,无非就是暴力猜密码
|
 |
6
w568w 129 天前
> 每开一台新 VPS
国内 VPS 的常用 IP 段早就加入恶意攻击的目标 IP 库了,怎么换 IP 作用都不大。 > 只要不更换 ssh 默认端口,必然会有一大堆的恶意尝试登录请求 你已经知道解决方案了。 > 同在互联网,大家就不能友善一点吗 从另一个角度来说,每天有人免费帮你做渗透测试,不开心? |
 |
7
zw1027 129 天前
白名单永远是最好的做法
|
 |
8
ruidoBlanco 129 天前
以前换端口,现在从来不换。
禁止密码登录,只允许 ssh 组用户登录,把自己加入 ssh 组,完事。 |
 |
9
dbak 129 天前
防火墙加个白名单不就行了 反正经常登录的地点也就是公司和家里
|
 |
10
liubaicai 129 天前
装个蜜罐
 |
 |
11
Meteora626 129 天前
你去 502 论坛看看就知道了,那些做灰产的 手头几千几万台机器 都不是啥很高深的黑客就是纯扫,想变现还怕违大法
|
 |
13
Goooooos 129 天前
换端口也被扫,我的 LA 的 VPS 换了高位端口也天天被扫
|
 |
14
adoal 129 天前
因为,不会搞 public key 或者不愿搞的用户很多很多……
|
|
16
tool2dx OP |
 |
17
Metre 129 天前
个人用户的话,我是这么解决的
1. ipset 把自己所在的省份 IP 加入白名单,其他黑名单. 扫描数可以降至个位数. 2. 关闭外网 ssh 端口开放,安装 xray,sing-box 等.在客户端本地端口转发登录 ssh. |
 |
18
wowawesome 129 天前
黑客个屁,脚本小子罢了
|
 |
19
Kinnice 129 天前
Port knocking
|
 |
20
hi2hi 129 天前
人善被人骑
|
|
21
w568w 129 天前
@besto 你说得对。其实还有几个思路:
1. Port knocking 2. 自动定期换端口 3. Virtual LAN 层( Tailscale ,Zerotier ),然后关闭外网访问 4. 用小众远程控制协议,例如 mosh |
 |
23
dhb233 129 天前
扫描端口性价比不低啊,IPv4 的公网地址又不多,开放 ssh 的更少了
|
 |
25
dapang1221 129 天前
换端口,改证书登录
再不嫌麻烦的话,搭 vpn ,先连进内网,再 ssh 登录 |
 |
26
coldle 129 天前 via Android
白名单很有必要,# 17 的省份白名单就是侵入性小且效果显著的方案
|
 |
27
yanqiyu 129 天前
改成 pubkey 登录之后就让他扫呗,只要 key 不泄露怕啥
|
 |
28
VYSE 129 天前
用 V2RAY 做代理
|
 |
29
fatekey 129 天前
不想被扫就换端口呗,广撒网的一般只扫默认端口。
|
 |
30
txzh007 129 天前
搞个 5 位端口 求他扫
|
 |
31
Avafly 129 天前 1
端口号设大点. 我之前 fail2ban 一万多条尝试登陆失败的记录, 后来端口号从原来的 8xxx 换成了 5xxxx, 那之后一个扫端口的记录都没了.
|
 |
32
zed1018 129 天前 1
用 level3 的 ipsum 列表做 block ,会好非常多。当然你要是性能好用 level1 的也可以。
https://github.com/stamparm/ipsum/blob/master/levels/3.txt |
|
34
zed1018 129 天前
@tool2dx #31 我没实际测试过,但是网上的说法是千百条不是很要紧上万就看性能了,所以我选 level3 原因就是因为这个级别大概保持在 15000 左右。
|
 |
35
daisyfloor 129 天前
用 key 私钥文件验证登录是不是就没什么问题了?
|
 |
36
cnt2ex 129 天前
@daisyfloor 但依然会有连接失败的记录
|
 |
37
Remember 129 天前 1
你还 too young ,事实上 ssh 扫描这事儿,从 ssh 协议发明以来就广泛存在了,属于互联网背景噪音,类似宇宙背景辐射这种,已经是网络基础架构的一部分了。
|
 |
38
TianDogK48 129 天前 2
@tool2dx iptables 不用导入几万条,用 ipset 存 ip ,iptables 加一条 ipset 的规则就行。
|
|
40
daisyfloor 129 天前
@cnt2ex 那无所谓了,让他扫呗
|
 |
41
imlonghao 129 天前
我最近从几个源整合了个 IP 黑名单列表,然后通过 BGP 分发给我的 VPS 们,把路由指向了黑洞地址
https://cdn.sa.net/2024/07/08/L573m4rWDuioCSj.jpg |
 |
42
guo4224 128 天前 via iPhone 1
你端口都开了,凭什么不让人访问…
|
 |
43
angryfish 128 天前
白名单,首先公司基本是固定地址,然后家里的,限制到 16 位网段,基本扫描为零了。
|
 |
44
424778940 128 天前
5 位端口+1
之前有些乞丐配置 vps 甚至都被他扫死机了, 换了之后就基本没有记录了 |
Select Language