V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mawen0726
V2EX  ›  站长

请教下大佬,我这是被盯上准备破我服务器了吗

  •  
  •   mawen0726 · 340 天前 · 4464 次点击
    这是一个创建于 340 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨晚刚弄好 ipv6 地址,把路由器的防火墙关了,测了一下很多应用都能正常运行。

    刚刚突然想看看服务器安不安全(因为之前被爆破过),查看/etc/passwd 日志,发现很多登录日志,但都被拦截了,因为我设置了需要私钥才能访问 ssh 。

    另外想请教下这种个人服务器暴漏在公网的,应该要怎么做防护

    微信截图_20240117143935.png

    41 条回复    2024-01-19 17:38:36 +08:00
    lujiaosama
        1
    lujiaosama  
       340 天前
    FAIL2BAN. 防火墙, 端口针对特定 IP 地址段放行.
    stinkytofu
        2
    stinkytofu  
       340 天前
    你只要设置了强密码或者秘钥登录, 就不用管了。 除非 SSH 爆出了零日漏洞可以直接绕过验证。但是 SSH 这么多年这么大量使用, 这种级别的漏洞不太可能会有。你阻止不了别人扫你。
    mawen0726
        3
    mawen0726  
    OP
       340 天前
    @lujiaosama 服务器防火墙有开的,哪些应用要用就放行哪些,FAIL2BAN 这个我去了解下,然后端口针对特定 ip 这个,感觉 ip 一直都会有变化,不太好约束
    asdasdqqq
        4
    asdasdqqq  
       340 天前
    最好不要暴露出去吧,每个设备使用 vpn 访问
    mawen0726
        5
    mawen0726  
    OP
       340 天前
    @stinkytofu 那应该就是被人盯上了在扫我,谢谢大佬!我试试楼上的 FAIL2BAN
    leyoumake1997
        6
    leyoumake1997  
       340 天前
    vpn 跳板登录 SSH
    herozzm
        7
    herozzm  
       340 天前
    如何是云,开启云上的防火墙,直接进不到服务器这个层面
    mawen0726
        8
    mawen0726  
    OP
       340 天前
    @herozzm 不是云,就是家里搞了台服务器,然后通过宽带获取的公网 ipv6
    anytk
        9
    anytk  
       340 天前
    stinkytofu
        10
    stinkytofu  
       340 天前
    @mawen0726 #5 盯个毛, 你还真不害臊啊, 你家住五角大楼还是 xxx 啊🐶, 还盯上你了!!! 这就是再普通不过的脚本扫描, 任何一台公网设备, 每天都会经历无数次的扫描。
    mawen0726
        11
    mawen0726  
    OP
       340 天前
    @stinkytofu 因为之前被爆破过,比较害怕~现在大概了解了
    mawen0726
        12
    mawen0726  
    OP
       340 天前
    @anytk 好像和楼上说的 FAIL2BAN 差不多的功能,我对比一下,感谢
    lujiaosama
        13
    lujiaosama  
       340 天前
    @mawen0726 主要是 SSH 的 22 端口. 一是改成高位, 二是只针对某些 IP 段放行. 我自己的基本上只能在某个特定地区登录. 跳板机登录也可以, 但是太麻烦了.
    lujiaosama
        14
    lujiaosama  
       340 天前
    对了. 你还要需要关闭密码登录, 只允许密钥登陆.
    littlewing
        15
    littlewing  
       340 天前
    FAIL2BAN 只能防同一个 ip 频繁登陆失败,但干这种事的一般会有很多 ip
    littlewing
        16
    littlewing  
       340 天前
    你这为啥全是 from 127.0.0.1
    peasant
        17
    peasant  
       340 天前
    OP 的端口是怎么开放出去的?看你这日志截图所有的登录都是来自 127.0.0.1 ,你用 Fail2Ban 也防不了本机啊
    angryfish
        18
    angryfish  
       340 天前
    1.改 22 端口为高端口
    2.只开放本市的 ip 访问,可以减少 99%的爆破。
    3.加 fail2ban,封 ip
    mawen0726
        19
    mawen0726  
    OP
       340 天前
    @littlewing
    @peasant
    我也好奇为什么全是 127.0.0.1
    服务器是用 exsi 上面跑的 ubuntu ,然后分配了一个公网 ipv6 ,路由器关了 ipv6 的防火墙
    mikewang
        20
    mikewang  
       340 天前 via iPhone
    @mawen0726
    127.0.0.1 ……
    你这是 frp 出去了吧,fail2ban 也救不了
    mawen0726
        21
    mawen0726  
    OP
       340 天前
    @littlewing
    @peasant
    我前几天弄了一个 frp 内网穿透的,买的别人的,会跟这个有关系吗? frp 有映射到 ssh 的端口,但是 frp 只给了我 5 个端口,我看日志的端口五花八门,应该和 frp 没关系吧?
    piller
        22
    piller  
       340 天前
    我服务器前几天设置了弱密码,结果就过了两天看视频画质突然降了,CPU 给干到了 100%,然后服务商还发信息警告了。本是一小白,查了一天多才发现问题所在,好多 IP 通过我的 ssh 端口传输数据,知道自己服务器被扫了,修改成强密码,然后安装了 fail2ban ,把这些尝试登录的都给关进小黑屋了。另我的另一台服务器开了 2 年了,使用的是强密码,被扫了至少几十万次吧,也一直好好的。
    mawen0726
        23
    mawen0726  
    OP
       340 天前
    @mikewang 对对,大佬!我前几天弄过 frp ,那这个要怎么破
    mikewang
        24
    mikewang  
       340 天前 via iPhone
    @mawen0726 肯定和 frp 有关系啊,公网 ssh 端口暴露就是这样的。关掉你再看看。
    lujiaosama
        25
    lujiaosama  
       340 天前
    @mawen0726 FRP 为什么要买, 而不自己搭. 你这是连底裤都交了. 现在搞个轻量云服务器装个 FRP 再简单不过了.
    mawen0726
        26
    mawen0726  
    OP
       340 天前
    @mikewang 已经把 ssh 端口调高了,把 frp 映射原本 ssh 的 22 端口取消掉了。大佬可以给点关键词我搜索一下,怎么利用这个 frp 模拟在本地登录 ssh 吗,因为我看这个端口也是五花八门的
    mawen0726
        27
    mawen0726  
    OP
       340 天前
    @lujiaosama 当时不太懂这个技术,这就准备自己弄一个了,自己本身也确实有一个腾讯云的服务器
    lstz
        28
    lstz  
       340 天前 via Android
    这很正常,上公私钥搞定
    hicdn
        29
    hicdn  
       340 天前 via Android
    frp 用 stcp
    Paulownia
        30
    Paulownia  
       340 天前
    不是被盯上了,是互联网中有很多僵尸服务器,在不间断的扫描 ssh 端口,发现一个 ssh 服务就会去暴力破解一下。如果用的密钥登陆,一般不用怕,如果嫌烦就用前面提到的 fail2ban
    xhatt510
        31
    xhatt510  
       339 天前
    多谢提醒,看到你的帖子突然想起来自己家里的服务器。安装系统的时候建了个用户,用户名仅有 3 个字母,密码高达 8 位,单全是 8 ,并且密码登录没关,就这样相当于裸奔跑了一年半。昨天下午已经把当时安装系统的时候建的用户给删了。tail -f 看登录失败日志,发现几乎 3 秒一次,root 用户我是关了密码登录的。。一身冷汗
    kernelerror
        32
    kernelerror  
       338 天前 via Android
    很正常啦,fail2ban+ufw 一开后,ufw status 一长串 reject 封掉的 IP 地址。有闲心就去查 IP 的运营商,给他们 abuse report 。

    基本上 fail2ban ,禁止密码登录就可以放心了。如果还是不放心可以像我一样用 pam acript 写一个程序,每次 ssh 登录就会给我手机推送用户和 IP 地址。
    kernelerror
        33
    kernelerror  
       338 天前 via Android
    在手机上打错字了 T_T

    是 pam script: https://github.com/jeroennijhof/pam_script

    auth 成功后会调用指定的程式/脚本,通过环境变量传入 rhost 等信息
    benjaminliangcom
        34
    benjaminliangcom  
       338 天前 via iPhone
    ssh 不监听 ipv6 呢
    mawen0726
        35
    mawen0726  
    OP
       338 天前
    @kernelerror 昨天去查了下资料,高端口登录 ssh+只允许公钥登录,应该是万无一失了,我现在就是采取这样的方案
    mawen0726
        36
    mawen0726  
    OP
       338 天前
    @xhatt510 你的运气真的好~我之前好像允许密码访问,6 位中英结合的密码被爆了
    mawen0726
        37
    mawen0726  
    OP
       338 天前
    @Paulownia 网络防护方面是个小白,看到这种短期之类这么高访问量尝试突破实在害怕
    mawen0726
        38
    mawen0726  
    OP
       338 天前
    @benjaminliangcom 我看了下是能记录登陆人的 ipv6 的,这个不监听怎么理解哦
    ![微信截图_20240119135501.png]( https://img.xwyue.com/i/2024/01/19/65aa0ed88b3b1.png)
    Paulownia
        39
    Paulownia  
       338 天前
    @mawen0726 不用怕,找个 vps 去观察,从你开放 22 端口的时间算起,不到半个小时就能有不少 ssh 尝试记录。如果你有兴趣研究,可以搭建一个 ssh 蜜罐,去收集爆破的口令和用户名,不过话说收集到的大多数都是比较常见的口令。
    mawen0726
        40
    mawen0726  
    OP
       338 天前
    @Paulownia 谢谢大佬,我去搜索一下这些相关信息~
    benjaminliangcom
        41
    benjaminliangcom  
       338 天前 via iPhone
    @mawen0726 就是不让 22 端口运行在 ipv6 上
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5926 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 02:41 · PVG 10:41 · LAX 18:41 · JFK 21:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.