我最近开始在一台专用服务器上运行一个个人网站,这台服务器我拥有了一段时间,但从未真正使用过。我从未检查过它的日志,但现在当我检查时,auth.log 中充满了来自中国、俄罗斯、乌克兰、阿塞拜疆等 IP 的随机 ssh 连接尝试。我很好奇,检查了我最近获得的另一台服务器上的日志,那里的情况是一样的。我采取了严厉措施(我封锁了所有中国 IP),但有一件事一直困扰着我:
他们如何选择目标?他们又是如何找到我的?他们只是随机选择 IP 吗?(我认为尝试通过 SSH 连接某个随机家用路由器的 22 端口没什么用,所以这听起来不合逻辑)
顺便提一下(可能有点长,但还是要说一下),我所做的(阻止了除端口 22、80、443 和 8080 之外的所有流量 + 我捕获的所有 IP + 所有中国 IP,并删除了 root ssh 登录)足以对抗它们吗,还是我仍然处于危险之中?
答案1
它连接到互联网这一事实意味着它处于危险之中。IP 扫描很常见,而且并不难做到。一旦他们有响应的 IP,他们就会开始向它发起已知攻击。即使他们的成功率只有 0.1%,每天也可能有数十或数百个系统受到攻击。
答案2
他们正在使用机器人
这是一个范围扫描,它们扫描全球几乎所有的 IP,从所有现有的 IP 范围(从 0.0.0.0 到 255.255.255.255)中找到目标,你只是这些范围中的一个数字。
如果端口回答为已打开,机器人将会尝试所有已知的尝试来进入。