这是一个创建于 3101 天前的主题,其中的信息可能已经有所发展或是发生改变。
之前在云盾里看到过暴力破解的攻击,ip 都是乱的,什么地方的都有,
但最近半个月的暴力破解都是来自阿里云自己的 ip, 提交工单,阿里云也就敷衍下,压根就没有实际动作(说会关停相应的攻击者的主机)
你们也遇到过同样情况吗?
特别是这个 120.27.122.161
云盾显示攻击者全球累计攻击次数: 10345
还能照常访问。。。。
哪天一不留神就做了别人的肉鸡
 |
1
wy315700 2016-05-10 08:23:29 +08:00 via Android
只能说攻击者用了阿里云的机器罢了
|
 |
2
Bardon 2016-05-10 08:25:38 +08:00
大多是 80 端口的扫描吧,只要你的 web 程序不是老古董,那么无视即可,别被阿里云恐吓了。
挂个纯静态页面,也能提示你受到各种各样的攻击。 如果 ssh 爆破,那么显然你需要一个 ssh key 。 |
 |
3
aheadlead 2016-05-10 08:33:28 +08:00
你的才 5 位数……
|
 |
4
aivier 2016-05-10 08:39:19 +08:00 via Android
每天登陆 SSH 都能看到几十万次的爆破,密码够强也没什么关系~
|
 |
5
Keyes 2016-05-10 08:58:43 +08:00 via iPhone
yum install denyhosts
systemctl enable denyhosts systemctl start denyhosts 然后 ssh 改成证书登陆,应用没问题就很难被人爆破 |
 |
6
openbaby 2016-05-10 09:19:41 +08:00
如果必须要用密码登陆的话,
1.阿里云安全组配置只开放相应对外服务端口,其他端口一律阻止。 2.修改 ssh 端口 3.设置复杂用户名&12 位以上数字大小写字母符号密码 4.禁止 root 登陆 5.su-密码设置为另一个 12 位数字大小写字母符号密码 6.限制每 10 秒扫描 5 个端口即拉黑 600 分钟。 你整成这样,扫的人也就没劲了,这 TM 要扫到猴年马月。。 |
 |
7
heiguo 2016-05-10 09:23:25 +08:00
可以配一个 fail2ban
|
 |
9
Laynooor 2016-05-10 09:29:55 +08:00 via Android
我的 ECS 和这个 IP 在同一网段.. 应该也是学生机
|
 |
11
BOYPT 2016-05-10 10:29:56 +08:00
我猜是阿里云的云盾什么都有自己的扫描系统……
|
 |
12
icybee 2016-05-10 10:43:11 +08:00
证书安全很多 && 写程序稍微注意一下安全性
|
 |
17
8cbx 2016-05-10 11:14:28 +08:00
一个办法是手动添加黑名单,就在 ECS 的安全组里,另外一种方法就是在服务器里面配上 Google Authentication ,每次登陆服务器需要动态验证,这样所有爆破就不用理会了
|
 |
19
kn007 2016-05-10 12:06:11 +08:00
换个端口, 22 做个伪装,或者直接利用 fail2ban ,尝试 22 就 ban
|
 |
20
esile 2016-05-10 12:56:38 +08:00 via iPhone
随机 16 位大小写特殊符号数字密码 他有兴趣就让它破呗 怕啥
|
 |
21
helloworld01 2016-05-10 13:00:22 +08:00
@openbaby 的建议,楼主可以采纳。攻击行为来自不同的服务商,阿里云可以处理自己违规 IP ,但是处理不了外边 IP 对您服务器的攻击,所以首先提升自身防御能力还是很有必要的。
|
 |
23
aliyunservice 2016-05-10 13:10:36 +08:00
您好, 您提交工单后,阿里云会核实您提供的攻击信息,经核实该 IP 确实有攻击行为,我们会关停该 IP 所属服务器,同时通告该服务器所有者,排查原因,处理完毕后才可再次开启。经确认,您工单中提交的该 IP 确实存在攻击行为,我们已经关停了该 IP 所属服务器,感谢您对阿里云的支持。另外,提升安全防御能力,可以将此类安全问题防患于未然!
|
 |
24
just1 2016-05-10 13:10:48 +08:00 via Android
国内大多都是用阿里的服务器做攻击扫描的,有什么问题吗
|
 |
25
qqmishi 2016-05-10 16:00:56 +08:00
我记得以前就有个用阿里云服务器来盗淘宝账号的新闻,,,
爆破就爆破呗,记录下他们尝试的口令不就是一个弱口令库了嘛 |
 |
26
ragnaroks 2016-05-10 17:30:12 +08:00
虽然我也用阿里的机器,但是我的机器直接屏蔽 121.40.*这个段,原因就不用我多说了
|
 |
28
strwei 2016-05-10 19:18:46 +08:00
安利一个小技巧阿狸云的机器开通按秒计费有 bug ,可以不扣钱,自己研究吧
|
 |
31
tSQghkfhTtQt9mtd 2016-05-10 21:05:39 +08:00 via Android
|
 |
32
xuhaoyangx 2016-05-10 21:08:45 +08:00
证书登录 +谷歌的 authentication+fail2ban deny+iptables 关闭端口检测特定数据包打开端口+定期打打补丁
|
 |
33
binux 2016-05-10 21:25:27 +08:00
@strwei 让我猜猜
在不考虑优惠系统 bug 情况下 按秒计费就是 时间 * 单价,如果从时间上做手脚,那就是开始时间或者结束时间。如果从单价做手脚就是改成 0 。不过如果是用户输入未检查的 bug 就太蠢了。 然后根据用的是「不扣钱」的描述,也有可能是扣费阶段的 bug 。扣费周期,机制漏洞都有可能。没用过,猜不出。 |
 |
34
alect 2016-05-10 22:11:51 +08:00
呵呵,表示我屏蔽了很多来自阿里云的 IP 段
|
 |
35
ladyv2 2016-05-11 07:54:34 +08:00
@msg7086 需要的啊。我记得是需要连接 https://chart.googleapis.com/
|
|
36
8cbx 2016-05-11 09:12:13 +08:00
@ladyv2 不需要连 google ,只需要 apt-get 一个包,然后本地配置完成关联到 ssh 上。配完之后会给你一个二维码,你拿 google authentication 的 app 扫一下就 OK 。 app 各大平台上都有,也不用翻。
@liwanglin12 国内能用 |
 |
37
cheng007 2016-05-11 09:24:21 +08:00
我已经把 ssh Root 远程登录关了,黑客同时猜中账号和密码的可能性为 0
|
 |
38
kookxiang 2016-05-11 10:16:06 +08:00
阿里云针对 ssh 攻击不多啊,挂了个蜜罐,一个月才几次的样子
|
 |
39
x8888k 2016-05-11 10:57:44 +08:00
安装 denyhosts
|
 |
40
62900015 2016-05-11 14:08:28 +08:00
每天都有来自如阿里云的攻击者,提交工单以后依然没有处理,总是敷衍。
|
 |
41
goodryb 2016-05-11 16:07:55 +08:00
如果不是阿里云的 IP 攻击你 1 万多次,你投诉谁?
上面 V 友也说了很多预防的办法,如果你特别注意安全,搭配一些防暴力破解措施又有什么问题呢 |
Select Language