V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
AlexPUBLIC
V2EX  ›  服务器

服务器被爆破了

  •  
  •   AlexPUBLIC · 2022-06-12 09:45:33 +08:00 · 7462 次点击
    这是一个创建于 893 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这是一台 NAS 服务器,因为运营商很好,所以单独给配了一个公网 IP ,然后下午闲来无事看了一眼日志: 一堆爆棚密码的请求,而且是尝试一次换一次 ip ,根本没有收到任何报警 [img]https://i.imgur.com/BHR8AZF.png[/img] 下午立刻采取措施,ban 掉非本国的 IP ,晚上看依旧不少垃圾请求,于是,把 ip 直接解析到 127 。0 。0 。1 ,路由器 wan 侧请求全部 drop ,手法过于暴力,不知道大家有没有温柔一点的办法

    34 条回复    2022-08-24 14:46:22 +08:00
    tulongtou
        1
    tulongtou  
       2022-06-12 09:50:08 +08:00
    关掉密码登录, 只允许密钥登录,任他爆破又能怎样
    eason1874
        2
    eason1874  
       2022-06-12 09:54:19 +08:00   ❤️ 2
    每小时几次,每次是不同 IP 。。。这不是爆破,这就是日常漏洞扫描,在融资报告里叫网络资产测绘

    网络上的扫描机器远不止几十个,一直都会有的。改掉端口,只允许密钥登录,就问题不大
    hdp5252
        3
    hdp5252  
       2022-06-12 09:57:59 +08:00 via Android
    一直密钥登录,我感觉还方便,密钥放 Dropbox 网盘,
    每次登录还不用输密码
    bs10081
        4
    bs10081  
       2022-06-12 09:58:23 +08:00
    我的做法是禁用了 admin ,然後管理員帳號開啟了 2FA ,這樣就算密碼被破,理論上也進不來。

    @tulongtou 群暉好像沒有密鑰登陸
    AlexPUBLIC
        5
    AlexPUBLIC  
    OP
       2022-06-12 10:00:02 +08:00
    @tulongtou 其实根本不是 ssh ,是一个非标的 https ,也没有 admin 这个账号,只是它不停请求,硬盘根本无法休眠

    @eason1874 开公网 1 年多了,这是本月 7 号才开始有的,而且我看了 ip 报告,好多都是北美的家宽,更倾向于僵尸网络
    AlexPUBLIC
        6
    AlexPUBLIC  
    OP
       2022-06-12 10:01:29 +08:00
    @bs10081 我也没有开 admin ,关键是群晖 fail2ban 根本不提示这种情况,也不 ban ip ,不是心血来潮看日志根本发现不了
    noqwerty
        7
    noqwerty  
       2022-06-12 10:02:30 +08:00   ❤️ 1
    暴露在公网的机器都是这样的,可以直接 fail2ban ,或者把机器放在 wireguard 后面
    elfive
        8
    elfive  
       2022-06-12 10:04:53 +08:00 via iPhone
    @bs10081 开启用户家目录,新建.ssh ,放入密钥,完成
    makelove
        9
    makelove  
       2022-06-12 10:10:48 +08:00
    瞎担心,只要密码是随机长密码这又有什么关系呢?穷举到宇宙尽头都不可能被爆
    bs10081
        10
    bs10081  
       2022-06-12 10:10:54 +08:00
    @AlexPUBLIC #6 在這裡似乎是可以調整?不過我沒遇過被掃描的問題,我的 NAS 在內網,由一台學校的 VM 來進行流量中轉。

    bs10081
        11
    bs10081  
       2022-06-12 10:12:22 +08:00
    @elfive #8 群暉也可以這樣操作嘛?但是沒有開放公網 SSH 連線是不是就沒必要用密鑰了?畢竟平常都是通過網頁進入的 DSM 。
    elfive
        12
    elfive  
       2022-06-12 10:17:40 +08:00 via iPhone
    @bs10081 DSM 外网的端口肯定不能是默认的 5000 。
    而且建议不要用 UPNP 做端口转发,等有需要连接 DSM 的时候,再打开转发。
    elfive
        13
    elfive  
       2022-06-12 10:20:15 +08:00 via iPhone
    @AlexPUBLIC @bs10081
    你得设置好,比如我的就是 999999 分钟内尝试 2 次就封。设置的时间太短,它只要等时间一过,又可以再尝试登陆了,这样就可以避免被封了。
    bs10081
        14
    bs10081  
       2022-06-12 10:26:15 +08:00
    @elfive #12 我的 DSM 流量只有從 VM 的 443 進來,然後再轉發到群暉的,感覺問題不大?
    @elfive #13 了解你說的。
    hanghang
        15
    hanghang  
       2022-06-12 10:43:15 +08:00
    在路由器裡把常用的端口設定端口轉發就好。我之前用威聯通的時候也是用得 UPnP ,也會有樓主這樣的情況。
    AlexPUBLIC
        16
    AlexPUBLIC  
    OP
       2022-06-12 10:53:50 +08:00
    @bs10081
    @elfive
    我也是这么设置的,而且我 admin 账户是 disable 的,但是这些 ip 并没有被封锁,甚至封锁记录都没有
    @makelove
    硬盘频繁启动呀,炒豆子,就算不影响寿命,听着也烦的
    Qetesh
        17
    Qetesh  
       2022-06-12 11:57:36 +08:00 via iPhone
    两种方式。第一种设置一个域名,通过设置-登陆门户-高级-反向代理,域名通过才转发到控制台。第二种使用 vpn 才能访问控制台,自带有 vpn ,也推荐 wireguard 、tailscale 、vmess 代理这种都是全平台
    showgood163
        18
    showgood163  
       2022-06-12 12:08:28 +08:00
    这些扫描多是针对 IPV4 地址的。

    服务端只监听 IPV6 ,基本没人扫的到 IP ,更不用谈登录了。

    我之前也是用 fail2ban 来控制访问的。在只开 IPV6 之后,看不到除我自己外的登录尝试记录。
    huaes
        19
    huaes  
       2022-06-12 12:40:01 +08:00
    开 IPV6 DDNS 就行了,V4 能不用就不用,没准速度还能更快
    jason94
        20
    jason94  
       2022-06-12 12:40:27 +08:00
    我之前也是老被人爆破,开启 2 步骤校验,再也没有了
    nicevar
        21
    nicevar  
       2022-06-12 13:10:08 +08:00   ❤️ 1
    自己检查一下设置,我的群晖狠起来连我都 ban 掉
    vmebeh
        22
    vmebeh  
       2022-06-12 13:59:11 +08:00 via iPhone
    有公网 ip 的话建议放在网关后面,连接 VPN 后才能访问,建议 wireguard ,配置超级简单
    dcsuibian
        23
    dcsuibian  
       2022-06-12 14:31:52 +08:00
    应该只是被扫了。

    参考群辉官方的:
    [如何提高 Synology NAS 的安全性?]( https://kb.synology.cn/zh-cn/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS)

    公网访问,我的是改默认端口+HTTPS+超长的随机密码+仅开必要端口(非 dmz ),已经相当安全了
    des
        24
    des  
       2022-06-12 14:42:59 +08:00 via iPhone
    @showgood163 我服务器就有被扫端口的,还是 ipv6 也不知道是怎么做到的
    terranboy
        25
    terranboy  
       2022-06-12 14:49:07 +08:00
    NAS 干什么用的 暴露在公网
    terranboy
        26
    terranboy  
       2022-06-12 14:50:14 +08:00
    @terranboy 重要的一般不会暴露在公网 暴露的一般没多重要吧 改改端口密码 随便他扫吧
    mikewang
        27
    mikewang  
       2022-06-12 16:14:14 +08:00
    看了眼我的 fail2ban ,已经封了 13,552 个 IP 了
    这些都是全网扫 IP 端口爆破密码的,而且是毫无根据的瞎猜,我就当它们不存在罢

    https://imgur.com/I2D5ygG
    Serialize
        28
    Serialize  
       2022-06-12 17:19:11 +08:00
    不要用默认端口,设置尝试几次就 ban 掉,我 qnap 的 nas 就这么整的,还有域名别用 qnap 提供的
    defv2er
        29
    defv2er  
       2022-06-12 18:43:06 +08:00
    最近我也被天天登录了,NGINX 里面过滤一下就好,我直接加了个 accept language 就清净了
    wonderblank
        30
    wonderblank  
       2022-06-12 19:28:18 +08:00
    1. 改 ssh 端口
    2. 只接收 key 登陆
    3. fail2ban 或者 sshguard

    以上只要做到两点,基本就不会出问题。

    我是全部都做,工作 9 年,从未出现过类似问题。
    codehz
        31
    codehz  
       2022-06-12 23:17:42 +08:00 via iPhone
    不开端口
    用 cf Argo tunnel 配置 cf 侧的 access ,然后就几乎没有访问日志了
    showgood163
        32
    showgood163  
       2022-06-12 23:23:15 +08:00
    @des

    IPV6 扫到实在是有难度,是不是 DDNS 的问题?但因噎废食不用 IPV6 也让人难受
    TsukiMori
        33
    TsukiMori  
       2022-06-14 01:27:31 +08:00 via Android
    我压根就没给路由器防火墙放出 Nginx 和 p2p 软件之外的端口
    mrzx
        34
    mrzx  
       2022-08-24 14:46:22 +08:00
    drop 分 2 种,一种是直接丢弃,一种是我丢弃了,但我还要告诉你,我丢弃你的报文了。。
    你要分清楚。
    前者明显更适合。这就叫温和。

    此外设时间,同一个 IP ,在 1 秒钟之内最后尝试连接一次,超过则需要等 5 分钟。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3351 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 116ms · UTC 00:44 · PVG 08:44 · LAX 16:44 · JFK 19:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.