V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
这是一个专门讨论 idea 的地方。

每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。

那这个时候,不妨可以把那些 idea 分享出来,启发别人。
qfdk
V2EX  ›  奇思妙想

vino-server 被扫描,日志撑爆硬盘

  •  
  •   qfdk · 2022-06-02 14:12:39 +08:00 · 1449 次点击
    这是一个创建于 905 天前的主题,其中的信息可能已经有所发展或是发生改变。

    家里有 n 台机器,其中一台扔到厕所作为服务器了。里面装了 ubuntu 20.04 并开启了远程桌面功能,方便管理。

    今天登录机器发现 git pull 命令出错,很奇怪,于是下意识的 敲了下命令 df -lh 看一下硬盘占用的情况。

    没想到 / 居然满了。。 具体一点儿是 /var/log/syslog 爆了,里面大概 200G 的日志,还好有一个 是昨天的,于是乎删掉。 截取了一部分日志,发现是有机器在爆破密码。。。

    于是 ip 拿到了,顺着 ip 找过去,拿到了他的一些肉鸡信息。 原来是是各种扫描就上来了,于是收货了一批 账号密码组合。

    116.48.1xx.xxx:5900 12345678 -> s000 ( 192.168.0.20 ) - service mode

    发几个,感觉是什么控制终端。humm 邪恶的想法滋生了😈,在自己机器被入侵的情况下有啥法子进行反击。

    思考到有个东西是蜜罐,但是针对这样的扫描 难道需要 fail2ban 来进行处理 ?

    或者有啥高端的玩儿法,打击他们的扫描,写个死循环让他们夏天烤一下电炉子 ?

    4 条回复    2022-06-03 14:20:48 +08:00
    popok
        1
    popok  
       2022-06-02 14:39:30 +08:00
    5900 我记得是 vnc 的端口
    qfdk
        2
    qfdk  
    OP
       2022-06-02 14:49:07 +08:00
    @popok #1 对的 因为都是远程协议端口,有的还是 5901 这样的
    ljlljl0
        3
    ljlljl0  
       2022-06-03 11:54:05 +08:00
    让对方一直记录正确的登录信息,把他日志撑爆
    qfdk
        4
    qfdk  
    OP
       2022-06-03 14:20:48 +08:00
    @ljlljl0 #3 不会啊,因为 爆破脚本,找到就停了,除非我也要把一台机器 弄上足够多的用户来搞他
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1756 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 16:38 · PVG 00:38 · LAX 08:38 · JFK 11:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.