Ssh

中國、俄羅斯等隨機攻擊者在哪裡找到目標?

  • November 11, 2015

我最近開始在我擁有一段時間但從未真正使用過的專用伺服器上執行個人網站。我從來沒有檢查過它的日誌,但現在當我這樣做時,auth.log 充滿了來自中文、俄羅斯、烏克蘭、阿塞拜疆等 IP 的隨機 ssh 連接嘗試。我很好奇並檢查了我最近購買的另一台伺服器上的日誌,那裡也是同樣的情況。我採取了嚴厲的措施(我已經阻止了所有中國 IP),但有一件事一直困擾著我:

他們如何選擇目標?他們是怎麼找到我的?他們只是把自己扔在隨機 IP 上嗎?(我認為嘗試通過某個隨機家用路由器上的埠 22 上的 SSH 連接不是很有用,所以這聽起來不合邏輯)

在旁注上(也許旁注太大了,但仍然如此),是我所做的(阻止了除埠 22、80、443 和 8080 以外的所有流量 + 我擷取的所有 IP + 所有中國 IP,並刪除root ssh 登錄)足以對抗它們還是我仍然處於危險之中?

它連接到網際網路的事實意味著它處於危險之中。IP 掃描很常見,而且並不難做到。一旦他們擁有響應的 IP,他們就會開始對其進行已知的攻擊。即使他們只有 0.1% 的成功率,每天可能有幾十個或數百個系統受到攻擊。

他們正在使用機器人

這是一個範圍掃描,他們掃描了全球幾乎所有的 ip,從所有現有的 ip 範圍(從 0.0.0.0 到 255.255.255.255)中找到目標,你只是這些範圍中的一個數字。

如果埠回答為打開,機器人將嘗試所有已知的嘗試以嘗試進入。

引用自:https://serverfault.com/questions/735239