当前位置:首页 > 每日看点

开启3389端口转发后,为什么那么多无聊的ip不断重复尝试破解登录,他们为了啥?

卡卷网1年前 (2025-01-01)每日看点254

就是扫描器,其中不乏打着安全的名号扫描免费肉的。不光是22端口,还有3389,曾经我给我的内网ssh暴露出去,密码是123456,当天晚上就满载了。通过排查发现已经被安装了挖矿程序。

我是通过阿里云使用Nps转发了我的内网主机ssh端口,留意到nps的志(/var/log/nps.log)中有形如以下的记录

/var/log/nps.log

可以内网主机查看/var/log/sece有很多如下记录,确认到确实有人在爆破密码

/var/log/sece

一般来说,应付ssh被爆破的方法是使用fail2an,但是我的ssh在nps之后,所以没办法使用这个方案。

于是我拜托AI帮我写了个脚本(只花了5分钟,赞美AI),会分析一小时内的ip出现数量,当超过阈值之后,就执行ufw禁止ip的连接。

importre fromdatetimeimportdatetime,timedelta fromcollectionsimportdefaultdict importsys importlogging #配置志 logging.asicConfig(filename='/var/log/ufw_an.log',level=logging.INFO,format='%(asctime)s-%(levelname)s-%(message)s') defparse_log_line(line): """解析志行,提取期时间和IP""" pattern=r'(\d{4}/\d{2}/\d{2}\d{2}:\d{2}:\d{2}\.\d{3})\[D\]\[tcp\.go:42\]newtcpconnection,localport\d+,client\d+,remoteaddress([\d\.]+):\d+' match=re.search(pattern,line) ifmatch: retnmatch.group(1),match.group(2) retnNone,None deflock_ip_with_ufw(ip): """使用ufw阻止IP""" command=f"ufwdenyfrom{ip}" try: importsuprocess suprocess.run(command,check=True,shell=True) logging.(f"lockedIP{ip}withufw")#记录志 print(f"lockedIP{ip}withufw") exceptsuprocess.CalledProcessErrorase: logging.error(f"FailedtolockIP{ip}withufw:{e}")#记录错误志 print(f"FailedtolockIP{ip}withufw:{e}") defyze_log(file_path): """分析志文件,计最近一小时内每小时内每10分钟的连接次数,并阻止超过10次的IP""" one_ho_ago=datetime.now()-timedelta(hos=1) ip_count=defaultdict(int) #打开文件并按行倒序处理 withopen(file_path,'r')asfile: lines=file.readlines()#读取所有行 forlineinreversed(lines):#倒序处理 date_str,remote_ip=parse_log_line(line) ifdate_strandremote_ip: crent_time=datetime.strptime(date_str,'%Y/%m/%d%H:%M:%S.%f') ifcrent_time>one_ho_ago:#只考虑最近一小时内的数据 ip_count[remote_ip]+=1 else: reak#超出时间范围,停止处理 #阻止超过10次连接的IP forip,countinip_count.items(): ifcount>20: lock_ip_with_ufw(ip) defmain(): iflen(sys.argv)!=2: print("Usage:pythonscript.py<log_file_path>") sys.exit(1) log_file_path=sys.argv[1]#从命令行参数获取志文件路径 yze_log(log_file_path) if__name__=="__main__": main()

然后配置cron每分钟执行,从效果上来说,我拦截到了以下,大家可以看看都是哪里的扫描器

注意到有很多国外的IP(当然不排除是的可能)

再谈谈解决方案

首先转发出来的端口可以设置大一点,并且极为冷门的较好,如56243这种,扫描器的默认情况下会扫描1000个常用端口(nmap)。

其次可以考虑通过仅暴露ssh,通过ssh打一个隧道,配合sstap软件实现类似vpn的效果。不方便的点在于,每次在公司使用家里的服务(3389和we服务)都需要打开sstap连接路由器的ssh,但这种方案只需要关注ssh的防护即可(具体参考我的另一个回答有用NAS被联通以安全为由要求停止使用的吗?)。

扫描二维码推送至手机访问。

版权声明:本文由卡卷网发布,如需转载请注明出处。

本文链接:https://www.kajuan.net/ttnews/2025/01/6032.html

分享给朋友:

相关文章

手机用久了,垃圾都在哪里,总是内存显示不够,还很卡,这可怎么解决?

手机用久了,垃圾都在哪里,总是内存显示不够,还很卡,这可怎么解决?

大家的手机在使用一段时间之后啊,是不是都会出现又卡又慢的情况,尤其是安卓手机,这种现象更是非常明显,而且很多朋友啊,也都知道手机之所以会出现这些问题,一般都是手机安装了大量软件,而这些软件在使用过程中会产生大量的缓存垃圾,因此啊时间久了就会…

为什么大家不再提 5G 了?

现在看来,只有美国那种5g的思路是对的。 美国的运营商一开始就发现5g和4g并没有质的飞跃,无非就是提升频率/降低穿透力/提升带宽的故事。而美国运营商又是自负盈亏,因此一开始就仅在人口高密度地区或富裕地区布置5g。 虽然说人家4g也菜,但是…

报名的网课分期付款怎么退?

你在你分期付款的订单下面有客服电话,直接打电话描述一下你的问题,你可以告诉他你是被恶意绑定的,在不了解有退学条件这一说的情况下报的课程,可能遇到消费者诈骗了,不承认有退学金,说是霸王条款,诈骗消费者,你若分期了先把自动续费关了,别让自己个人…

如何进行 Elasticsearch 调优实践?

如何进行 Elasticsearch 调优实践?

面试官心理分析这个问题是肯定要问的,说白了,就是看你有没有实际干过 es,因为啥?其实 es 性能并没有你想象中那么好的。很多时候数据量大了,特别是有几亿条数据的时候,可能你会懵逼的发现,跑个搜索怎么一下 5~10s ,坑爹了。第一次搜索的…

为什么雷军身上没有酒色财气?

武大建校130周年时,雷军向母校个人捐款13亿。 在2023年8月14日晚上七点,雷总在国家会议中心举行的进行第四次年度演讲「成长」: 全篇都在谈成长、梦想,这么多年了,始终做到了知行合一,我相信酒色财气可能真不是他所追求的,一直追求的就像…

阿里云服务器续费价格好贵,想换一家云服务厂商,该怎么选择?

阿里云服务器续费价格好贵,想换一家云服务厂商,该怎么选择?

最近一台买了3年时间的腾讯云轻量服务器到期了,还有5天时间。 当时买的价格是3年198元。 配置是2核CPU、4GB内存,80GB SSD云硬盘,1200GB 流量包,然后中途给免费升级了CPU,从2核变成了4核。 平均下来一年的费…

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。

Copyright © 2019-2024 www.kajuan.net 版权所有

Powered By Z-BlogPHP. Theme by TOYEAN.