V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
zhouyut001
V2EX  ›  Linux

吐槽一下全球全域端口扫描

  •  1
     
  •   zhouyut001 · 2018-11-19 21:56:51 +08:00 · 6279 次点击
    这是一个创建于 2197 天前的主题,其中的信息可能已经有所发展或是发生改变。

    ssh 和几个服务端口暴露到公网,天天都有全球的 IP 扫描,或者登陆 ssh 失败被 fail2ban 封禁 1 个月。有这么闲的嘛?我的端口全是 10000 起步的,这都能扫描到?干嘛呢

    21 条回复    2018-11-27 16:44:34 +08:00
    kslr
        1
    kslr  
       2018-11-19 23:02:45 +08:00 via Android
    利益
    flynaj
        2
    flynaj  
       2018-11-19 23:22:33 +08:00 via Android
    扫描程序不会累😩
    fiht
        3
    fiht  
       2018-11-19 23:27:46 +08:00   ❤️ 3
    不是能扫描到 10000+
    而是 1 - 65525 扫 发送 HELLO 报文
    然后根据返回的 banner 做匹配,识别运行的服务。 然后给 API 给黑客用。
    所以不是每个黑客都是扫全网 1-65525 的
    zoomeye、fofa、shodan 都是做这个的的
    ywgx
        4
    ywgx  
       2018-11-19 23:31:53 +08:00 via iPhone
    zui   fan   gan
    zhouyut001
        5
    zhouyut001  
    OP
       2018-11-19 23:32:54 +08:00
    @ywgx ?
    zhouyut001
        6
    zhouyut001  
    OP
       2018-11-19 23:33:01 +08:00
    @fiht 了解了
    t6attack
        7
    t6attack  
       2018-11-19 23:38:02 +08:00
    不是人为扫描,是蠕虫病毒的机动扫描。
    蠕虫病毒的扩散速度和扫描量是以几何级别增长的。尤其“弱口令”蠕虫,无法有效限制其他病毒重复感染,导致一台肉鸡上往往跑着 N 个蠕虫日夜不停的扫描互联网。
    t6attack
        8
    t6attack  
       2018-11-19 23:54:57 +08:00
    以针对 445 端口的扫描为例,ms08-067 这个漏洞爆出来以后,从互联网到局域网,针对 445 端口的扫描和攻击数据包满天飞。
    那么这些巨量的扫描行为是怎么产生的?是全球各地黑客 昼夜不停开着扫描器产生的吗?
    利用 ms08-067 传播的蠕虫,比较有代表性的:国外的 conficker 蠕虫,在全球感染了约 1000 万台主机。国内的 扫荡波 蠕虫,感染了约 70 万台主机。
    每一台被感染的僵尸主机,都会成为新的攻击源,昼夜不停的扫描互联网,继续传播自身。由此产生了巨量的扫描请求。与此相比,黑客手动扫描所占比例,几乎可以忽略不计。
    masker
        9
    masker  
       2018-11-19 23:55:38 +08:00 via Android
    我觉得这不算啥。之前在一个不知名 vps 代理商那里买 vps,买了没有立马改密码,第二天登不上了。
    zhouyut001
        10
    zhouyut001  
    OP
       2018-11-19 23:58:42 +08:00
    @t6attack 🐮🍺
    zhouyut001
        11
    zhouyut001  
    OP
       2018-11-19 23:58:50 +08:00
    @masker 还有这种操作
    C2G
        12
    C2G  
       2018-11-20 01:08:39 +08:00 via Android
    @zhouyut001 之前有台 vps 重装系统密码忘改了,然后第二天发现 vps 流量跑了 33T
    crab
        13
    crab  
       2018-11-20 01:20:41 +08:00
    就是有认为不会有人这么闲,所以就存在某些服务管理后台等等直接用默认密码或者弱口令,然后。。。。。
    geekvcn
        14
    geekvcn  
       2018-11-20 01:27:18 +08:00
    別人的肉機一大堆 , 不拿來掃拿來閒置? 現在好點 , 有的肉雞只被拿來挖礦 , 以前更瘋狂 , 利益使然 , 自己做好安全防護
    opengps
        15
    opengps  
       2018-11-20 08:06:26 +08:00 via Android   ❤️ 1
    习惯就好,公网环境就是这么恶劣。
    所以很多小白从内网没中过毒时代就留下误区,觉得自己的安全防御很到位。然后买了某些公网服务器中毒了就开始甩锅给服务器提供商
    Neojoke
        16
    Neojoke  
       2018-11-20 08:35:58 +08:00
    现在的情况好多了,大家都是用云服务商,有云给你防护,90 年代拨号自建服务器的时候,基本上脱裤子给人家看,操作系统漏洞百出,自建 IDC 机房的时候,做了防护,你觉得万无一失,不知不觉就被脱库,现在大家看到的什么华住用户消息被泄露什么的,那都是这些数据不知道被倒了多少手,已经没有价值了,才扔出来的。我们能看到的,只是比较低级的罢了
    AlisaDestiny
        17
    AlisaDestiny  
       2018-11-20 08:41:55 +08:00
    你这想法和我最开始玩 vps 的时候的想法一样,想不通怎么会有人这么无聊。后来你就会明白,这其实就和邮件诈骗一样的,他们用程序自动扫描各种网站上的邮箱,自动发送邮件,当你收到邮件时你以为你被骗子盯上了,其实只是一个不眠不休的程序而已。他们的投入成本可以忽略不计,而一旦有个中招,基本就是赚了。

    所以,你做好基本的安全措施就好了(换端口,禁 root 登陆,设置强密码或者用秘钥登陆)。
    whileFalse
        18
    whileFalse  
       2018-11-20 09:18:51 +08:00
    不知道 lz 用不用云。
    我司大部分机器是内网,只有一个跳板机开了个 22,而且用安全组限制了来源 IP。
    服务通过负载均衡器公开,负载均衡器是云的,开了 80 443,但不知道域名只能拿到 500 响应。
    爱扫扫去。
    Greenm
        19
    Greenm  
       2018-11-20 10:35:52 +08:00   ❤️ 1
    分享一下 shodan 上 ssh 的扫描结果,而 shodan 的扫描只是全世界扫描的冰山一角。

    lockiee
        20
    lockiee  
       2018-11-20 11:37:38 +08:00 via iPhone
    哎 我看了我的 22 端口登陆日志……除了我自己还是我自己……
    kios
        21
    kios  
       2018-11-27 16:44:34 +08:00
    @fiht 老哥也是做安全的啊?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1342 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 23:57 · PVG 07:57 · LAX 15:57 · JFK 18:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.