关于我
 

xjpvictor's Blog
小老鼠,上灯台,两只耳朵竖起来

被猜密码了


各种折腾·securityvps

本文最后编辑于超过1497天以前,部分内容可能已经失效

最近查看 VPS 每天自动发送到邮箱的运行日志,发现 ssh 有很多 "Invalid user" 的提示,登录上去看看。

查看了日志以后发现了两个现象。

第一个是有很多连接,都是不同的 IP,连了就跑也不尝试登录,每个 IP 也只连一次。我的 ssh 端口当然不是 22,而且我的 iptables 设置了规则,只要尝试了连接没开放的端口就直接封 IP 一段时间,哪怕之后再连接开放的端口也不给过,除非一段时间什么端口都不连才给解除封禁。

然而在日志里查了下那些 IP,也并没有连接其他端口的记录。说明这些 IP 是一上来就直接连接了我的 ssh 端口。想了想,很可能是我的 ssh 端口和某个已经被分配了的标准端口重合了。查了下,果然如此。以前没发生这个问题可能是没有扫到我的 VPS 上来。把 ssh 端口换到了一个确认没有被分配到端口上就解决问题了。

第二个现象是有几个 IP 不断的尝试以各种用户名登录。统计了一下,尝试的用户名包括了 "root","admin","mysql" 之类的,还有些 "stephan","marry","lucia","lucky" 之类的诡异用户名。

但这个扫描是同一个 IP 不断尝试,所以就直接封 IP 了事。

但是暂时没弄清楚的是这些尝试用户名登录的家伙是怎么通过防火墙那一关的,难道没有尝试别的端口就直接知道了我的 ssh 端口吗?细思极恐。

本文 "被猜密码了" 由 K. Huang 首先发表于 xjpvictor's Blog 并以 CC BY-NC 4.0 许可证发布 © 2020
转载注明引用来源 https://blog.xjpvictor.info/2020/09/someone-trying-to-access-my-vps/


推广:使用 DigitalOcean 搭建属于你自己的博客,每月低至 5 美元,全球多数据中心,稳定高速

打赏我

评论

你的邮箱地址不会被公开。必填项以 * 标出

无意义或不相关评论将被删除

允许使用以下html标签:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

你可以上传文件,粘贴代码或长文至 Drop.it.r

本博客是言论不自由博客,评论只接受询问及赞同,不同观点请出门左转微博/发表于自己的博客。谢谢合作!

评论意味着你 同意 上传部分私人数据,包括邮箱和 IP, 这些数据不会被分享给第三方,不会用于商业用途或再推广用途。

更多相似文章