黑客太多了，我腾讯云换了端口做远程中转就这都能被扫描到，然后被暴力破解远程桌面密码

wye11083

RT，昨晚回家之后发现工作站连不上radmin 登远程桌面用了十来秒才进去 根据经验，肯定是mstsc被打爆了，造成radmin崩溃（有过好多次了），两者貌似有关联，只开radmin从来没见爆过。

于是进系统log一看，果然从30号开始端口被黑客扫描出来了，日志里面半分钟一次非法登录。ltsc的安全性真不错，就是为吗radmin会被mstsc打爆?奇了怪了。

进腾讯云，把远程桌面端口限制到公司IP段，于是终于没事了。 我家里装了歌华有线，上行2Mbps，假公网，神奇的是腾讯云可以直通 做个DNAT就搞定了。用了快两年了，还不错

之所以不用mstsc远程，（1）mstsc不支持桌面色深压缩，（2）不支持带宽优化，（3）mstsc工作在terminal模式，很多用了flex license的软件不支持terminal方式认证，这样很多软件都用不了，如modelsim，synopsys之类。而radmin在2mbps下配置屏幕4bit色深，刷新率10Hz，是可以满足日常需求的，除了显示效果差一些。而且极端情况下（防火墙软件限流到1Kbps）用1bit色深1Hz刷新率进去是可以慢慢操作的

chunjiu

我家里的服务器不加防火墙，基本上只能活一个多星期。现在加了防火墙快半年了，还没出问题。

losingrose

我用的enpass，现在生成18位密码才有非常好

norman33

我以前自己玩的云服务器也是，远程桌面端口被扫描然后爆破了密码，关键是我里面只有一个自己用的mysql数据库，那位老兄不知道是误操作还是练手，把我里面所有用户表的奇数行给删除了 [大雾]

aammoo

norman33 发表于 2020-9-1 08:27
我以前自己玩的云服务器也是，远程桌面端口被扫描然后爆破了密码，关键是我里面只有一个自己用的mysql数据 ...

就是让你见识一下我的厉害

clesun

楼主科普下咋知道自己的PC是否被攻击

cc2666

clesun 发表于 2020-9-1 10:43
楼主科普下咋知道自己的PC是否被攻击

同问，有个阿里云的云主机，不知道如何查看

wye11083

cc2666 发表于 2020-9-1 10:59
同问，有个阿里云的云主机，不知道如何查看

日志，安全，看看有没有fail

lxvtag

22 1433 3306 3389 对公网开放的话都是被攻击重点，攻击的IP大多来自大陆。

lxvtag

linux ssh 默认22端口且用密码登录的话可以试试

grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more

经常可以看到成千上万的登录失败记录，换成别的端口的话就几乎没有了。



PS: 换 ssh 端口要先做好功课，设置好防火墙，有些主机不小心就会搞失联的哈。

chunjiu

lxvtag 发表于 2020-9-1 11:34
22 1433 3306 3389 对公网开放的话都是被攻击重点，攻击的IP大多来自大陆。

用路由转发来躲避扫描，例如我登录是用

ssh -p 11122 abc@112.130.74.58

家里路由将 11122 映射服务器 22。

这样的攻击就少了很多。

lxvtag

chunjiu 发表于 2020-9-1 11:47
用路由转发来躲避扫描，例如我登录是用

ssh -p 11122

端口映射是家里的做法，云主机只能改端口了

dukelec

我的服務器給 ssh 安裝了一個搭檔：sshguard （還支持 ssh 以外的諸多服務）
密碼設置複雜一點，可以用密碼登錄。用自己電腦通常是免密登錄。
且端口號沒有改，也允許 root 登錄。一直有掃描的人，好幾年下來，安全。

chunjiu

dukelec 发表于 2020-9-1 12:01
我的服務器給 ssh 安裝了一個搭檔：sshguard （還支持 ssh 以外的諸多服務）
密碼設置複雜一點，可以用密碼 ...

看了一下介绍，这个工具貌似挺不错。

leezee

用1bit色深1Hz刷新率.霸气..

Himem

用openvpn的表示还好

wye11083

chunjiu 发表于 2020-9-1 11:47
用路由转发来躲避扫描，例如我登录是用

ssh -p 11122

我开的50002，偶尔登录一下而已，就这都被扫描出来了。所以不要侥幸，这帮黑客都是抓着ip做端口扫描，逮到开放端口就一顿探测，只要是rdp/ssh/telnet之类的协议就会想办法攻进来。你改端口没有登录记录只不过是没有扫到你的ip而已。

我一开始是放开的云服务器的3389，一瞬间就有好几个登录信息，放了两个多星期就差不多有几百万条记录了。后来重新做防火墙屏蔽了。这次是30号晚上被扫到的，昨天晚上发现时就已经被尝试登录不下5000次了。

chunjiu

wye11083 发表于 2020-9-1 14:18
我开的50002，偶尔登录一下而已，就这都被扫描出来了。所以不要侥幸，这帮黑客都是抓着ip做端口扫描，逮 ...

靠！有半年多了没被攻陷我以为挺安全了呢。

那再装个 dukelec 兄弟推荐的 sshguard 试试。

chunjiu

对了，还有个问题想请教一下：

既然是对端口的随机扫描，有没有现成的工具可以设几个陷阱，

一旦被扫描到此端口则 ban 了对方 IP 比如 24 小时这样子？

lxvtag

chunjiu 发表于 2020-9-1 14:26
靠！有半年多了没被攻陷我以为挺安全了呢。

那再装个 dukelec 兄弟推荐的 sshguard 试试。  ...

其实也不需要那么紧张，像楼主碰到这种尝试暴破就瘫的软件应该不多，大概是个bug. 很多人对这种表示无所谓，也就是影响下log看着不干净而已。首先不能用弱密码，云主机之类的有防火墙当然最好是用上。

huangdog

我放家里的服务器，IPV6有公网IP，但是路由器没有IPV6的防火墙，是直通进来的，结果暴露了2天被黑了。。。吓得赶紧关掉了IPV6，老老实实的回归IPV4转发

chunjiu

lxvtag 发表于 2020-9-1 15:44
其实也不需要那么紧张，像楼主碰到这种尝试暴破就瘫的软件应该不多，大概是个bug. 很多人对这种表示无所 ...

刚刚远程翻查了一下家里服务器的 log，没有登录失败的记录，

估计家里的路由器给挡住了，它自带防火墙和 DDOS 防御，

毕竟端口也改了要转发，不是那么直观地直接被操。

wye11083

lxvtag 发表于 2020-9-1 15:44
其实也不需要那么紧张，像楼主碰到这种尝试暴破就瘫的软件应该不多，大概是个bug. 很多人对这种表示无所 ...

不知道哪的bug，有可能是mstsc尝试登录时会切换显卡状态造成radmin状态异常崩溃。我已经把radmin服务改成出错自启动了。。

电子喵星人

norman33 发表于 2020-9-1 08:27
我以前自己玩的云服务器也是，远程桌面端口被扫描然后爆破了密码，关键是我里面只有一个自己用的mysql数据 ...

你的被破解的密码是啥  能写出来见识一下吗     判断下暴力有啥能力

norman33

电子喵星人 发表于 2020-9-1 18:10
你的被破解的密码是啥  能写出来见识一下吗     判断下暴力有啥能力

我的当时密码 Depe$#!^2345 ，被爆破唯一原因就是远程桌面的端口是默认端口并且没有限制尝试次数，发动攻击的人扫描到端口后可以挂这一个很大的辞典慢慢跑词典，只要密码不够长总有一天会试出来。

norman33

chunjiu 发表于 2020-9-1 14:29
对了，还有个问题想请教一下：

既然是对端口的随机扫描，有没有现成的工具可以设几个陷阱，

你说的这种属于蜜罐防黑技术，比如某个端口被扫描后甚至可以假装自己是个系统的console，然后可以套取分析对方操作和信息

chunjiu

norman33 发表于 2020-9-2 09:33
你说的这种属于蜜罐防黑技术，比如某个端口被扫描后甚至可以假装自己是个系统的console，然后可以套取分 ...

谢谢兄弟的提示，我去 *谷* 歌 一下 ...

电子喵星人

norman33 发表于 2020-9-2 09:30
我的当时密码 Depe$#!^2345 ，被爆破唯一原因就是远程桌面的端口是默认端口并且没有限制尝试次数，发动攻 ...

是你随机想出来的密码？

norman33

电子喵星人 发表于 2020-9-2 14:18
是你随机想出来的密码？

骚年，服务器远程密码，特别是运行的生产数据库服务器，这种密码很正常，这个只是个人服务器而已，要是企业的，十六位大小写字母数字混合特殊符号算强度低的。不存在什么随机想出来的说法。

jjj

我的SSH也是经常被攻击，但是我设置了同一个IP地址，连续输入错误密码两次，  就把这个IP加入黑名单了

richards

chunjiu 发表于 2020-9-1 08:11
我家里的服务器不加防火墙，基本上只能活一个多星期。现在加了防火墙快半年了，还没出问题。 ...

用的什么防火漆

chunjiu

Ubuntu 自带的防火墙，在 pi 上默认是关闭的，之前不知道，后来总被攻破才知道了……

路由器是第一道防火墙，之前也是不知道，Pi 是直接暴露到公网上的，现在将端口转发了。

dukelec

chunjiu 发表于 2020-9-1 14:26
靠！有半年多了没被攻陷我以为挺安全了呢。

那再装个 dukelec 兄弟推荐的 sshguard 试试。  ...

我之前測試過，如果我關掉 sshguard，log 裡面嘗試登錄的頻率會高到吓人，一秒鐘一次了都，打開後，一天總共十幾次。。。

cnxh

服务器的远程桌面的登陆密码我设了19位,大小写字母和符号,是不是服务器一般情况下就可以防止被非法登陆入侵

norman33

cnxh 发表于 2020-9-3 06:02
服务器的远程桌面的登陆密码我设了19位,大小写字母和符号,是不是服务器一般情况下就可以防止被非法登陆入侵 ...

改远程端口并且限制重试次数才是比较安全的，19位密码只是把暴破的时间拖长而已，如果不想改，你可以按1秒一次算，19的数字符号大小写排列组合共有多少个数，一秒一次的频率，全部试一遍的时间多少，然后这个算出来的时间的一半为周期更改同样强度但是完全不同的密码才能保证安全。

yanggang2880

很好奇，那些人花大量时间去爆破一台服务器密码，收获很大吗？

chunjiu

yanggang2880 发表于 2020-9-3 16:40
很好奇，那些人花大量时间去爆破一台服务器密码，收获很大吗？

你去查一下什么叫 “肉鸡” ...

cnxh

norman33 发表于 2020-9-3 13:19
改远程端口并且限制重试次数才是比较安全的，19位密码只是把暴破的时间拖长而已，如果不想改，你可以按1 ...

默认的远程端口,前2天我已经改过了,限制重试次数在哪里设置,iis吗,我远程端口是用宝塔面板改的,网站,ftp,都是用的宝塔,安全方面用了免费的网站安全狗和服务器安全狗
19位不同组合密码,如果暴力破解估计解不了吧,应该是天文数字

norman33

宝塔面板在2020年8月25发生过严重安全漏洞，被国内两大服务商直接封了888端口，具体现在不知道，我也不是专业运维，服务器安全部份，特别是生产状态下的web或者database，或者好几种服务放一起的日常运维还是要用心的，否则出了问题麻烦。

monkeynav

暴露在公网的端口应该尽可能的少，尤其是M$的东西漏洞太多，全都封住才能保证安全