用了 google cloud 以后 cpu 过一段时间就会飙升一次,一直很纳闷。 以前从来没看过 nginx 日志,今天一看惊呆了,有不停换 ip 尝试登陆的,有尝试获取 phpmyadmin 地址的。 仅仅一天的日志 90%以上都是各种使坏的。
135.181.10.248 - - [01/Jan/2021:02:50:05 +0000] "GET /phpmyadmin HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
135.181.10.248 - - [01/Jan/2021:02:50:05 +0000] "GET /?/phpmyadmin HTTP/1.1" 200 6487 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:51:03 +0000] "GET /phpmyadmin HTTP/1.1" 301 5 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:51:03 +0000] "GET /phpmyadmin HTTP/1.1" 404 3422 "https://gotomorrow.dev:443/phpmyadmin" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
135.181.10.248 - - [01/Jan/2021:02:51:06 +0000] "GET /phpmyadmin HTTP/1.1" 301 5 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
135.181.10.248 - - [01/Jan/2021:02:51:07 +0000] "GET /phpmyadmin HTTP/1.1" 404 3422 "https://gotomorrow.dev:443/phpmyadmin" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:52:24 +0000] "GET /myadmin HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:52:24 +0000] "GET /mysql HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:52:24 +0000] "GET /mysqladmin HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:52:25 +0000] "GET /db HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:52:25 +0000] "GET /sqladmin HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:52:26 +0000] "GET /pma HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:52:26 +0000] "GET /phpmy HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:52:27 +0000] "GET /phpmanager HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
13.233.145.199 - - [01/Jan/2021:04:28:59 +0000] "GET /zh/wp-login.php HTTP/1.1" 200 2749 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
13.233.145.199 - - [01/Jan/2021:04:29:13 +0000] "POST /zh/wp-login.php HTTP/1.1" 200 2873 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
13.233.145.199 - - [01/Jan/2021:04:29:23 +0000] "POST /zh/xmlrpc.php HTTP/1.1" 200 412 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
1
iXingo 2021-01-01 19:44:14 +08:00
正常,我也是。而且我在 /var/log/auth.log 上面还看到每天都有人在暴力破解 ssh 登录 :(
|
2
kidlj 2021-01-01 19:44:32 +08:00 14
第一天用服务器?
sudo cat /var/log/secure 有更多惊喜。 |
3
codehz 2021-01-01 19:44:40 +08:00
坐下,基本操作。
是个 web 服务器都会有这种自动化扫描的 |
4
LnTrx 2021-01-01 19:44:59 +08:00
开放 IP 直接访问 80 的的话都是这样,毕竟为了各种原因把有效的公网 IPv4 全扫一遍在时间上是可行的。
|
5
Ptu2sha 2021-01-01 20:22:21 +08:00
。。还是太年轻 等你手里有一堆服务器 看日志就不奇怪了
甚至可以写规则逗逗这些扫描器 |
6
yanzhiling2001 2021-01-01 20:35:24 +08:00
被扫这种事,习惯就好了,就像是你开了一个门头,不断有人进出,也有不怀好意的人盯着
|
7
WIAIHE 2021-01-01 20:37:27 +08:00 1
我把博客的 admin 重定向到了 p*o*r*n*h*u*b,然后把 admin 移动到 /awadjaudhiuhfaofhOEHefhiuHSD/admin
|
8
paperseller 2021-01-01 20:45:23 +08:00 via Android
@kidlj 使用这行命令看到今早 7:19 至 7:32 有异常的登录尝试,本人当时还在睡觉。看起来登录成功了?
Jan 1 07:27:42 107 sshd[8378]: Accepted publickey for root from xxx.xxx.xxx.xxx port xxxxx ssh2: RSA SHA256:.... 再看到 root 目录多了一个名为 virt-sysprep-firstboot.log 的日志文件,查看日志存在一个 /usr/lib/virt-sysprep 的文件夹以及子目录有 sh 文件和空的 scripts 文件夹。但是我开了私钥登录而且关闭了密码登录,这还是被入侵了? |
9
kidlj 2021-01-01 21:07:57 +08:00 1
@paperseller "Accepted publickey for root" 就是代表 root 登录成功了,但不代表是被攻击了,可能是自己登录的。另外搜索了一下 virt-sysprep-firstboot.log 文件,似乎是 RH 的自带日志。
|
10
paperseller 2021-01-01 21:17:12 +08:00 via Android
@kidlj 非常感谢。看了下登录的 ip,应该是自己另一个住址的 ip,然后搜索了下 virt-sysprep,跟 kvm 虚拟机备份克隆有关。可能是虚惊一场。
|
11
Yien 2021-01-01 21:18:35 +08:00
gcp 不都是 sshkey 登入吗?
|
12
YouLMAO 2021-01-01 21:21:07 +08:00 via Android
服务器时间并非北京的时间,可能是巴拿马的
|
13
opengps 2021-01-01 21:22:04 +08:00 via Android
习惯就好,这就是真实的公网环境
|
14
helloworld000 2021-01-01 21:35:44 +08:00
关闭 ssh root 和密码登陆,只用 public key 登陆会安全很多
|
15
liuqi0270 2021-01-01 21:40:11 +08:00 via iPhone
我都不敢看日志。哈哈
|
16
matrix67 2021-01-01 21:43:19 +08:00
1. 改端口
2. 安全组白名单 |
17
oreoiot 2021-01-01 21:44:36 +08:00 via iPhone
我之前白嫖的良心云端云主机,不知道有没有成为人的肉鸡干过坏事,到期后果断没有续。没有安全意识我还是不要搞的好。
我的 Windows 远程桌面口令很弱,估计都被破解好几轮了,目前没发现异常也没有管。 |
18
yfwl 2021-01-01 21:53:37 +08:00
很正常的啊 哈哈
|
19
zszhere 2021-01-01 21:57:29 +08:00 via iPhone
这很正常 僵尸网络主机的常规操作 批量爆破 批量打 exp
|
20
icreeper 2021-01-01 22:08:11 +08:00 via iPhone
很正常,我就是把 22 关了还有人试我 22 端口
|
21
z775781 2021-01-01 22:18:02 +08:00
你去 grep 这个扫描的 ip,甚至能看到很多 cms 的 exp 之类的
|
22
masker 2021-01-01 22:35:11 +08:00 via Android
那你不适合用 VPS
|
23
Jooooooooo 2021-01-02 00:43:57 +08:00
ip4 的地址太少了, 使得全网扫描变得可能
|
24
miaomiao888 2021-01-02 00:47:00 +08:00 1
别服务器了,就家里电脑自从有了公网也天天被扫
|
25
lada05 2021-01-02 03:10:29 +08:00
@miaomiao888 #24 那要做哪些安全设置啊?这段时间玩 PT,也准备申请公网 IP 呢
|
26
S179276SP 2021-01-02 03:23:39 +08:00 via Android
你可以把登陆 ip 复制到 abuse ip info 网站搜索,基本上不同国家都有举报的。
|
27
miaomiao888 2021-01-02 03:51:17 +08:00
@lada05 装个防火墙应该能拦住,我自己用的 netlimiter
|
28
t6attack 2021-01-02 05:38:15 +08:00
暴露在公网上机器就是这样,没人连接才有问题。
造成公网上大部分扫描的,不是“人”而是“蠕虫病毒”。比如:编写一个 ssh 弱口令蠕虫极其简单,所以数量根本无法统计。 大部分 v 友,简单研究下,就能用自己擅长的语言写出来。 至于能传播多广,主要看蠕虫携带的 密码库 和 扫描策略 是否有效。 |
29
dream4ever 2021-01-02 08:49:50 +08:00
所以要用 fail2ban,把这种扫描主机的 IP 都屏蔽掉。而且 fail2ban 是基于日志的,可以各种自定义,建议研究研究。
|
30
manami 2021-01-02 11:42:56 +08:00
哈哈这个标题
|
31
asche910 2021-01-02 11:59:43 +08:00
这不家常便饭吗
|
32
UnknownSky 2021-01-02 12:51:42 +08:00 via Android
fail2ban,一次錯誤封永久。關閉 SSH 外網訪問,SSH 透 VPN 連接
|
33
black11black 2021-01-02 13:06:07 +08:00 via Android
可见 lz 机器一直没有防护裸奔到现在。。没被打下来属于运气较好
|
34
Kaciras 2021-01-02 13:11:59 +08:00
人家只是敲门而已,还没进去拉屎呢,把门锁好就行了。
|
35
learningman 2021-01-02 13:29:38 +08:00
@UnknownSky 一次错误就把自己给放逐了。。。
|
36
hd2ex 2021-01-02 13:36:53 +08:00
too young too simple
|
37
Lemeng 2021-01-02 14:39:22 +08:00
正常,如果没有这些,可能才不正常
|
38
patrickyoung 2021-01-02 14:41:33 +08:00 via iPhone
我都是直接 endlessh,然后扫描的直接送 gzip bomb
|
39
fumichael 2021-01-02 14:48:02 +08:00
表示第一次看也是惊到了,但是一想我只有 Java 环境呀,都没 PHP 环境,怕个锤子哦
|
40
dangyuluo 2021-01-02 14:52:29 +08:00
sshguard + fail2ban 一套
|
41
UnknownSky 2021-01-02 16:07:17 +08:00 via Android
@learningman ssh 連接軟體都設定好的,沒關係。再說很少從外網連線
|
42
Whalko 2021-01-02 16:28:47 +08:00
请问怎么看 nginx 日志?
|
44
byte10 2021-01-02 17:30:30 +08:00
建议开一个 VPN 就得了,一切内网操作,应该挺好的
|
46
ttyhtg 2021-01-02 19:41:23 +08:00
每次登录都提示有几万次的尝试登录错误
|
47
tubowen 2021-01-02 20:08:05 +08:00
我的腾讯云服务器也是,一直有人尝试 ssh 爆破登录,改了 ssh 端口之后就没了
|
48
tubowen 2021-01-02 20:08:44 +08:00
|
49
Huelse 2021-01-02 20:13:36 +08:00
lastb | wc -l
看看你被尝试 ssh 登录了几次,以前有台闲置的服务器没管,兴趣使然查了下,被尝试登陆 10w+次 |
50
Mac 2021-01-02 21:41:40 +08:00 1
如果你的网站不是 wordpress 架的,那么用 fail2ban 封掉一切 wordpress 特征就能干掉绝大部分扫描机
|
51
maypu 2021-01-02 22:23:15 +08:00 via Android
语言直接扫 zn 开头的可太秀了,看起来应该是国人干的
|
52
Flash1 2021-01-02 23:15:40 +08:00
看到这个贴想起 22 端口没改,一看安全记录好几十页长。把 ssh 默认端口换了,防火墙关闭 22 端口后,安全 log 基本没新记录了
|
53
xyz1396 2021-01-03 20:10:30 +08:00
以前我的路由器换了公网 ip 也这样 233333
|