家里群晖居然被攻击了
作者: OutDate 时间: 前天 11:11
本帖最后由 OutDate 于 2025-2-17 11:22 编辑
无意中看了下日志,被每10秒钟尝试登录一次ssh,绝大部分用户名是root,还间隔着使用随机的用户名如star dell chenlu,这明显是被攻击了。
这个群晖放在内网一级路由下面,开了22端口映射。因为我的网络比较复杂,群晖兼作upn、zt0服务器,一时搞不清攻击是从外面进来的,还是内网或者vpn客户端有肉鸡。从攻击来源于主路由192.168.0.1地址来看,应该是来自于公网。
于是设置了限制登录次数加黑名单,日志消失,过一个小时从黑名单再放出来,又产生有攻击日志,而且间隔还缩短了,每2-3秒攻击一次,还攻击脚本还智能化了,感觉到攻击行为被发现了,加快了进度?
于是把黑名单解除时间设为一年,然后暂时把公网端口映射关掉了。
image.jpg (197.42 KB, 下载次数: 0)下载附件前天 11:06 上传
作者: 取个名儿难 时间: 前天 12:03
不要把22暴露在公网啊。改个端口或用证书登录 。另外用VPN登录 就算安全的
作者: parkervon1 时间: 前天 12:12
估计攻击的目的是什么呢,把你文件加密了索取赎金?
作者: zxzx 时间: 前天 13:01
这是暴露在互联网的常态
作者: 风林火山 时间: 前天 13:20
上主路由看一下日志
作者: java 时间: 前天 13:54
我是esxi下的黑裙和爱快
我只暴露公网爱快的openvpn。要访问先openvpn进入内网。然后通过内网ip访问。。。
不暴露公网任何服务
作者: 卖艺不卖身 时间: 前天 14:45
在公网开放22端口,就要做好这个准备。
我有个vps,每天的登录失败日志,长的吓人。幸亏我用的密钥登陆,禁止密码登录。日志都是几十兆大小。
后来看着烦,把端口改成10000多,少多了,还是有。
后来直接关了ssh,使用tailscale 的ssh功能。这下清净了。
但是我这个是邮件服务器,有的端口不能关掉,时不时还是有攻击。
下图就是fail2ban拦截的
image.jpg (47.78 KB, 下载次数: 0)下载附件前天 14:44 上传
作者: 卖艺不卖身 时间: 前天 14:51
家里的服务,尽量少对互联网开放,你可以试试把ssh端口映射时改一个很大的数字,这样会少很多攻击。
都是一些无事佬搞个工具在那用字典慢慢试。
作者: 三度烧伤之复活 时间: 前天 20:21
吓得我一激灵赶紧登上路由看日志。
作者: 为梦燃烧 时间: 前天 22:30
这种事情,人家攻击你,图个啥呢?
本帖最后由 OutDate 于 2025-2-17 11:22 编辑
无意中看了下日志,被每10秒钟尝试登录一次ssh,绝大部分用户名是root,还间隔着使用随机的用户名如star dell chenlu,这明显是被攻击了。
这个群晖放在内网一级路由下面,开了22端口映射。因为我的网络比较复杂,群晖兼作upn、zt0服务器,一时搞不清攻击是从外面进来的,还是内网或者vpn客户端有肉鸡。从攻击来源于主路由192.168.0.1地址来看,应该是来自于公网。
于是设置了限制登录次数加黑名单,日志消失,过一个小时从黑名单再放出来,又产生有攻击日志,而且间隔还缩短了,每2-3秒攻击一次,还攻击脚本还智能化了,感觉到攻击行为被发现了,加快了进度?
于是把黑名单解除时间设为一年,然后暂时把公网端口映射关掉了。
image.jpg (197.42 KB, 下载次数: 0)下载附件前天 11:06 上传
作者: 取个名儿难 时间: 前天 12:03
不要把22暴露在公网啊。改个端口或用证书登录 。另外用VPN登录 就算安全的
作者: parkervon1 时间: 前天 12:12
估计攻击的目的是什么呢,把你文件加密了索取赎金?
作者: zxzx 时间: 前天 13:01
这是暴露在互联网的常态
作者: 风林火山 时间: 前天 13:20
上主路由看一下日志
作者: java 时间: 前天 13:54
我是esxi下的黑裙和爱快
我只暴露公网爱快的openvpn。要访问先openvpn进入内网。然后通过内网ip访问。。。
不暴露公网任何服务
作者: 卖艺不卖身 时间: 前天 14:45
在公网开放22端口,就要做好这个准备。
我有个vps,每天的登录失败日志,长的吓人。幸亏我用的密钥登陆,禁止密码登录。日志都是几十兆大小。
后来看着烦,把端口改成10000多,少多了,还是有。
后来直接关了ssh,使用tailscale 的ssh功能。这下清净了。
但是我这个是邮件服务器,有的端口不能关掉,时不时还是有攻击。
下图就是fail2ban拦截的
image.jpg (47.78 KB, 下载次数: 0)下载附件前天 14:44 上传
作者: 卖艺不卖身 时间: 前天 14:51
家里的服务,尽量少对互联网开放,你可以试试把ssh端口映射时改一个很大的数字,这样会少很多攻击。
都是一些无事佬搞个工具在那用字典慢慢试。
作者: 三度烧伤之复活 时间: 前天 20:21
吓得我一激灵赶紧登上路由看日志。
作者: 为梦燃烧 时间: 前天 22:30
这种事情,人家攻击你,图个啥呢?
本文转载于9090社区,帖子链接:https://www.kk9090.top/thread-565180-1-1.html