这是一个创建于 368 天前的主题,其中的信息可能已经有所发展或是发生改变。
新人第一次发帖
最近发现有很多奇怪的 IP 会扫描家里和 VPS 的端口
统计了下,一个小时就有 500+IP 扫我的机器,强迫症心里有点过不去
我想拦截这些 IP ,但是我不会写代码,于是我用 GPT 写了个脚本自动统计这些互联网上扫全网的 IP ,并更新到 github 上
原理:
监测到有 IP 连我 VPS 未开放的端口 -> 封禁 IP -> 每 5 分钟提交一次到 github 上
(一般谁访问我的 VPS 会先连未开放的端口呢?一定是恶意 IP )
使用方法:
定期执行防火墙脚本,封禁我这边扫到的 iplist.txt
放在 github 上面了,5 分钟更新一次: https://github.com/Narizgnaw/needtobebanned
最近发现有很多奇怪的 IP 会扫描家里和 VPS 的端口
统计了下,一个小时就有 500+IP 扫我的机器,强迫症心里有点过不去
我想拦截这些 IP ,但是我不会写代码,于是我用 GPT 写了个脚本自动统计这些互联网上扫全网的 IP ,并更新到 github 上
原理:
监测到有 IP 连我 VPS 未开放的端口 -> 封禁 IP -> 每 5 分钟提交一次到 github 上
(一般谁访问我的 VPS 会先连未开放的端口呢?一定是恶意 IP )
使用方法:
定期执行防火墙脚本,封禁我这边扫到的 iplist.txt
放在 github 上面了,5 分钟更新一次: https://github.com/Narizgnaw/needtobebanned
 |
1
x86 2023-12-19 14:39:31 +08:00
入口白名单+高位密码
|
 |
2
pplive OP ps: 感觉应该可以一定程度上防止运营商扫你家端口找你这种情况
|
 |
3
tool2d 2023-12-19 14:49:06 +08:00
和我差不多,我统计的黑名单是 ssh 端口乱猜密码的,从登录失败日志里提取的。
并不会永封,一般就封 24 小时。 但是也还是远比想象中的要多。 |
|
5
pplive OP @tool2d 我想的是:在攻击者还没扫到你 ssh 端口的时候,就把攻击者的 IP 封禁掉会更安全。比如扫 1-1000 端口,扫到 TCP 3 的时候,就把 IP 加到 DROP 列表里面。同时也能防止运营商查看你开了哪些端口。家里就是这样做的,GPT 写的防火墙。
|
 |
6
mohumohu 2023-12-19 15:13:43 +08:00
防火墙就能解决。
关键字 knockd |
 |
7
xipuxiaoyehua 2023-12-19 15:20:32 +08:00 via iPhone  2
只开放一个端口 远程 wireguard 回家,随他扫就这一个端口
|
|
9
pplive OP @xipuxiaoyehua iPhone+群晖用户表示:有点麻烦
|
 |
10
Qetesh 2023-12-19 15:24:47 +08:00
有些是针对服务扫描的,全球扫描一遍很快
其实可以装个蜜罐,把常用端口都给蜜罐 还可以用 fail2ban 、证书登陆、waf 保障安全 |
 |
11
mantouboji 2023-12-19 15:26:27 +08:00
Linux 机器了解一下著名的 fail2ban , 只要是暴露在互联网上的机器都应该安装。
哥甚至丧心病狂到写了 fail2ban 的配置文件,监视 RouterOS 的 log 记录,操作 RouterOS 屏蔽这些地址。 |
|
12
pplive OP @Qetesh 嗯,家里 web 端口都过雷池 WAF ,ssh 走 L2TP ,蜜罐现在不太敢用,会被微步记录。
|
|
13
xipuxiaoyehua 2023-12-19 15:27:22 +08:00
@pplive #9 麻烦在何处,开了 vpn 以后所有局域网内容直接输 ip 就好了,photos drive 那些都没影响
|
 |
14
hefish 2023-12-19 15:29:08 +08:00
你就让他扫扫嘛,反正也扫不进来啥。
|
|
15
pplive OP @xipuxiaoyehua 手机全局开 VPN 费电
|
|
16
pplive OP @hefish VPS 上有一些诸如 Wordpress ,Nextcloud ,Kodbox 之类的东西,如果有一天出了 0day 但是没来得及处理就会被人扫出来炸掉。
|
 |
17
killva4624 2023-12-19 15:46:33 +08:00
fail2ban 请
|
 |
18
vcn8yjOogEL 2023-12-19 15:52:31 +08:00
@pplive #15 官方 WG 耗电非常低
|
|
19
pplive OP @vcn8yjOogEL 谢谢,我抽空找个外区苹果账号试一下。
|
 |
20
old9 2023-12-19 16:02:12 +08:00 1
ustc 维护着一个
https://blackip.ustc.edu.cn/txt.php |
|
21
pplive OP @killva4624 fail2b 有点局限,比如在野 1day 攻击的流量就没法防,要加个 IPS 才可以。所以我没再用 fail2ban 了,用了更轻量的方式防护这种攻击。CPU 和内存占用几乎 0
|
 |
22
Goooooos 2023-12-19 16:10:38 +08:00
我手机 24 小时开着 VPN ,也没见耗电有什么异常
|
 |
24
magic3584 2023-12-19 16:13:49 +08:00
请问我家是光猫桥接+openwrt 旁路由,我在 openwrt 上跑了 DDNS 服务可以外网访问 openwrt 。请问我这能监控到这些异常登录吗?
还有就是摄像头连的主路由,我知道最好对他单独做个子网禁止它扫别的机器,但是,我不会😭 |
|
26
Goooooos 2023-12-19 16:18:00 +08:00
换其他协议,ss ,vmess ,wireguard
|
 |
27
wuyadaxian 2023-12-19 16:18:03 +08:00
v4 天天有脚本来爆破 ssh 密码,都封了 3819 个 ip 了,服务器才工作 1 个月。
|
|
29
pplive OP @wuyadaxian 是有啥特殊需要必须把 ssh 端口开房出去吗。。。。
|
|
30
wuyadaxian 2023-12-19 16:29:01 +08:00
@pplive 为了远程管理。反正上了密钥,来爆破的都是脚本而已。
|
 |
32
opengps 2023-12-19 16:35:20 +08:00
看了半天没搞明白,没开放的端口你怎么知道被尝试连接了?你从上层网络设备做的日志?
|
|
33
pplive OP @magic3584 Openwrt 本身没有异常登录日志的提醒,但是 Openwrt 如果你用的是 x86 带容器版本,那么可以装一个长亭 WAF ,对互联网仅开放 WAF 的端口,来防止爆破攻击 Web 管理界面: https://waf-ce.chaitin.cn/docs/guide/install
|
|
34
magic3584 2023-12-19 16:40:06 +08:00
@pplive 我用的是 flippy 大佬编译的 n1 固件,不知道啥版本。。。
还有就是我这 n1 只是旁路由,如果主路由被异常登录也能监测到吗?目前用的是小米的没法去自己刷 |
|
35
pplive OP @opengps 简单啊,写个 iptables 脚本,给非白名单端口发 syn 包的 IP 加到 ipset 里面 DROP 掉,然后把 ipsetlist 记录到文本上就 OK 了,我不懂代码,用 GPT 写的。
|
 |
36
datocp 2023-12-19 16:46:51 +08:00
搜索一下 iptables recent hacker 吧
根据它用 ipset 的实现,预先让扫描端口的 IP 自动 ban ipset destroy banned_hosts ipset -N banned_hosts hash:net timeout 180 -A INPUT -i eth1 -m set --match-set banned_hosts src -j DROP -A INPUT -i eth1 -p udp -m multiport --dports 80,5060 -j SET --add-set banned_hosts src -A INPUT -i eth1 -p tcp -m multiport --dports 20,23,25,110,135,137:139,161,445,1080,2323,3128,3306,3389 -j SET --add-set banned_hosts src |
 |
38
wclebb 2023-12-19 17:04:42 +08:00
这为了抓肉鸡的吧。
|
 |
40
admingyu 2023-12-19 17:29:35 +08:00
IP 黑名单 --> 肉鸡 IP 名单🧟
|
 |
41
fankangsong 2023-12-19 17:40:43 +08:00
我是 istoreOS ,请问如何分析被扫了? openwrt 的日志我始终没搞明白保存在哪里
|
 |
43
YsHaNg 2023-12-19 18:14:50 +08:00 via iPhone
其实就是做个蜜罐 我用的是这个 https://github.com/firehol/blocklist-ipsets
|
 |
45
bjfane 2023-12-19 19:18:24 +08:00
wg 非常好用。
|
 |
46
EngAPI 2023-12-19 19:33:00 +08:00
@fankangsong istoreos 默认开了如下端口
22 ,2049 ,53 ,32778 ,32777 ,111 ,32780 |
 |
49
mingl0280 2023-12-19 22:58:13 +08:00
|
 |
50
HackerTerry 2023-12-19 23:03:52 +08:00
iPhone 用户路过,外区苹果商店下载 wireguard ,用 wireguard VPN 翻墙回家两不误。在国外有固定 IP ,还能在爱快上配置 IP 白名单。
|
 |
51
Pepsigold 2023-12-19 23:42:02 +08:00
这个可以有!!
|
 |
52
xiaoranj 2023-12-20 03:59:20 +08:00
把乌克兰,俄罗斯的 IP 段直接屏蔽
|
 |
53
openbsd 2023-12-20 08:59:16 +08:00
减少对外开放的端口,VPN 回来访问内网服务
|
 |
54
leefor2020 2023-12-20 09:13:21 +08:00
@magic3584 ,路由器的 Guest 功能就可以,我把小米那一堆智能家居的都走的这个 SSID
|
 |
55
kile 2023-12-20 09:59:48 +08:00 1
|
|
56
pplive OP @kile IP 归属地显示问题…………具体我也不清楚,使用的是 http://ip-api.com/json/$ip?lang=zh-CN 这个 API
|
 |
59
fengxianqi 2023-12-20 10:31:25 +08:00
可以分享下这个脚本吗
|
|
60
pplive OP @fengxianqi 这个不太行,因为测试换台机器起不来……不准备分享了
|
 |
61
godall 2023-12-20 10:54:19 +08:00
你的家里 ip 不变的吗?我 1 周-10 天就会被电信强制更换。
|
 |
63
Jasmine2016 2023-12-20 11:14:35 +08:00
贡献一个东北大学的:使用东北大学网络中心的 SSH 黑名单系统 | Lan Tian @ Blog
https://lantian.pub/article/modify-computer/neu-network-center-ssh-blacklist.lantian/ |
|
64
Jasmine2016 2023-12-20 11:17:36 +08:00
补充:刚刚看了一下中科大的 PPT ,原来东北大学用的也是中科大的蜜罐——
2008 年 7 月开始中国科大校园网使用这样方式来管理黑名单,有安徽 4 所大学,省外 3 所(东北大学、兰州大学、电子科大)在使用这个黑名单。 |
 |
65
happyxhw101 2023-12-20 12:16:48 +08:00
我的策略是, 所有服务都通过 nginx 代理, http+tcp, 然后 watch nginx access log, 只要是国外的 ip 立即加入 blockked ipset
|
 |
66
zbowen66 2023-12-20 12:27:32 +08:00
我是用电信光猫的端口转发的,转发了 OpenVPN 、Nginx( https)、Gitea clone 用的 ssh ,正常服务直接通过域名到 nginx ,需要访问内网的时候直接 OpenVPN 回家(长时间使用时为了用上 OpenWrt 的 clash 规则也会 OpenVPN 回家),不知道我这种操作有没有风险
|
 |
67
shyrock 2023-12-20 13:19:36 +08:00
只开 ipv6 是不是没这个担心?
|
 |
68
reputati0n 2023-12-20 13:48:54 +08:00
上家公司做的这个社区版的雷池 waf 还不赖,我的公网暴露面基本都是通过它代理出来的
|
 |
71
terrancesiu 2023-12-20 15:49:05 +08:00 via iPhone
在外面,基本都是 wireguard 全走家里。三个公网一个只用来 wireguard 入站,另两个出站。
|
 |
72
dann73580 2023-12-21 03:29:17 +08:00
其实我感觉 ip 禁 ping+failban 差不多够用了,再往上走一层就用 wg 。
|
 |
73
caobug 2023-12-21 10:48:44 +08:00
封不完的,配好 fail2ban 自动就行
|
 |
74
chhtdd 2023-12-21 11:07:16 +08:00
想知道是怎么发现:"最近发现有很多奇怪的 IP 会扫描家里和 VPS 的端口" 的,纯网络小白,好奇,谢谢解答
|
 |
75
que01 2023-12-21 11:35:10 +08:00
我在自己的 RouterOS 上防火墙搞了这个,1.扫端口直接封半个月 2.ssh 失败就按官方的建议做了渐进封禁 直接加入黑名单。3.然后下载了中国区的国家 ip 列表,不是来自中国就直接拒绝,虽然可能有误伤但是自己用 误伤也无所谓了。现在想 log 看别人踢门都没办法了
|
|
76
pplive OP @chhtdd 比如,你访问 https://x.threatbook.com/ 微步,https://fofa.info/ FOFA ,https://hunter.qianxin.com/ 鹰图这些搜索引擎,输入你的 IP 地址,就可以看到你 IP 上开了哪些端口和服务,有哪些中间件,有哪些风险。这些系统会 24 小时扫描全网的 IP 地址并为攻击者提供有效的信息。其实对固定 IP 的用户是不利的,需要这些平台的出口 IP 封禁下。封禁的判断依据就是识别这些情报平台的扫描流量的特征,流量特征进一步细化,就是要识别对同一主机的多个端口进行扫描的流量,所以我用 GPT 做了识别的脚本:如果向我的 VPS 未开放端口发送 SYN 数据包超过 3 次,就会被防火墙封禁。这就是大概的逻辑。
|
 |
77
ButcherHu 2023-12-21 14:40:45 +08:00
可以先把云服务商的网段全屏蔽了,需要维护的 ipset 少一大半。
|
 |
79
lun9 2023-12-21 17:38:36 +08:00
很奇怪,我没开 ssh 的端口映射,群晖上的端口居然被扫描到然后尝试爆破
User [amax] from [103.78.12.14] failed to log in via [SSH] due to authorization failure. |
Select Language