V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
AlexPUBLIC
V2EX  ›  服务器

服务器被爆破了

  •  
  •   AlexPUBLIC · 65 天前 · 5619 次点击
    这是一个创建于 65 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这是一台 NAS 服务器,因为运营商很好,所以单独给配了一个公网 IP ,然后下午闲来无事看了一眼日志: 一堆爆棚密码的请求,而且是尝试一次换一次 ip ,根本没有收到任何报警 [img]https://i.imgur.com/BHR8AZF.png[/img] 下午立刻采取措施,ban 掉非本国的 IP ,晚上看依旧不少垃圾请求,于是,把 ip 直接解析到 127 。0 。0 。1 ,路由器 wan 侧请求全部 drop ,手法过于暴力,不知道大家有没有温柔一点的办法

    33 条回复    2022-06-14 01:27:31 +08:00
    tulongtou
        1
    tulongtou  
       65 天前
    关掉密码登录, 只允许密钥登录,任他爆破又能怎样
    eason1874
        2
    eason1874  
       65 天前   ❤️ 2
    每小时几次,每次是不同 IP 。。。这不是爆破,这就是日常漏洞扫描,在融资报告里叫网络资产测绘

    网络上的扫描机器远不止几十个,一直都会有的。改掉端口,只允许密钥登录,就问题不大
    hdp5252
        3
    hdp5252  
       65 天前 via Android
    一直密钥登录,我感觉还方便,密钥放 Dropbox 网盘,
    每次登录还不用输密码
    bs10081
        4
    bs10081  
       65 天前
    我的做法是禁用了 admin ,然後管理員帳號開啟了 2FA ,這樣就算密碼被破,理論上也進不來。

    @tulongtou 群暉好像沒有密鑰登陸
    AlexPUBLIC
        5
    AlexPUBLIC  
    OP
       65 天前
    @tulongtou 其实根本不是 ssh ,是一个非标的 https ,也没有 admin 这个账号,只是它不停请求,硬盘根本无法休眠

    @eason1874 开公网 1 年多了,这是本月 7 号才开始有的,而且我看了 ip 报告,好多都是北美的家宽,更倾向于僵尸网络
    AlexPUBLIC
        6
    AlexPUBLIC  
    OP
       65 天前
    @bs10081 我也没有开 admin ,关键是群晖 fail2ban 根本不提示这种情况,也不 ban ip ,不是心血来潮看日志根本发现不了
    noqwerty
        7
    noqwerty  
       65 天前   ❤️ 1
    暴露在公网的机器都是这样的,可以直接 fail2ban ,或者把机器放在 wireguard 后面
    elfive
        8
    elfive  
       65 天前 via iPhone
    @bs10081 开启用户家目录,新建.ssh ,放入密钥,完成
    makelove
        9
    makelove  
       65 天前
    瞎担心,只要密码是随机长密码这又有什么关系呢?穷举到宇宙尽头都不可能被爆
    bs10081
        10
    bs10081  
       65 天前
    @AlexPUBLIC #6 在這裡似乎是可以調整?不過我沒遇過被掃描的問題,我的 NAS 在內網,由一台學校的 VM 來進行流量中轉。

    bs10081
        11
    bs10081  
       65 天前
    @elfive #8 群暉也可以這樣操作嘛?但是沒有開放公網 SSH 連線是不是就沒必要用密鑰了?畢竟平常都是通過網頁進入的 DSM 。
    elfive
        12
    elfive  
       65 天前 via iPhone
    @bs10081 DSM 外网的端口肯定不能是默认的 5000 。
    而且建议不要用 UPNP 做端口转发,等有需要连接 DSM 的时候,再打开转发。
    elfive
        13
    elfive  
       65 天前 via iPhone
    @AlexPUBLIC @bs10081
    你得设置好,比如我的就是 999999 分钟内尝试 2 次就封。设置的时间太短,它只要等时间一过,又可以再尝试登陆了,这样就可以避免被封了。
    bs10081
        14
    bs10081  
       65 天前
    @elfive #12 我的 DSM 流量只有從 VM 的 443 進來,然後再轉發到群暉的,感覺問題不大?
    @elfive #13 了解你說的。
    hanghang
        15
    hanghang  
       65 天前
    在路由器裡把常用的端口設定端口轉發就好。我之前用威聯通的時候也是用得 UPnP ,也會有樓主這樣的情況。
    AlexPUBLIC
        16
    AlexPUBLIC  
    OP
       65 天前
    @bs10081
    @elfive
    我也是这么设置的,而且我 admin 账户是 disable 的,但是这些 ip 并没有被封锁,甚至封锁记录都没有
    @makelove
    硬盘频繁启动呀,炒豆子,就算不影响寿命,听着也烦的
    Qetesh
        17
    Qetesh  
       65 天前 via iPhone
    两种方式。第一种设置一个域名,通过设置-登陆门户-高级-反向代理,域名通过才转发到控制台。第二种使用 vpn 才能访问控制台,自带有 vpn ,也推荐 wireguard 、tailscale 、vmess 代理这种都是全平台
    showgood163
        18
    showgood163  
       65 天前
    这些扫描多是针对 IPV4 地址的。

    服务端只监听 IPV6 ,基本没人扫的到 IP ,更不用谈登录了。

    我之前也是用 fail2ban 来控制访问的。在只开 IPV6 之后,看不到除我自己外的登录尝试记录。
    huaes
        19
    huaes  
       65 天前
    开 IPV6 DDNS 就行了,V4 能不用就不用,没准速度还能更快
    jason94
        20
    jason94  
       65 天前
    我之前也是老被人爆破,开启 2 步骤校验,再也没有了
    nicevar
        21
    nicevar  
       65 天前   ❤️ 1
    自己检查一下设置,我的群晖狠起来连我都 ban 掉
    vmebeh
        22
    vmebeh  
       65 天前 via iPhone
    有公网 ip 的话建议放在网关后面,连接 VPN 后才能访问,建议 wireguard ,配置超级简单
    dcsuibian
        23
    dcsuibian  
       65 天前
    应该只是被扫了。

    参考群辉官方的:
    [如何提高 Synology NAS 的安全性?]( https://kb.synology.cn/zh-cn/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS)

    公网访问,我的是改默认端口+HTTPS+超长的随机密码+仅开必要端口(非 dmz ),已经相当安全了
    des
        24
    des  
       65 天前 via iPhone
    @showgood163 我服务器就有被扫端口的,还是 ipv6 也不知道是怎么做到的
    terranboy
        25
    terranboy  
       65 天前
    NAS 干什么用的 暴露在公网
    terranboy
        26
    terranboy  
       65 天前
    @terranboy 重要的一般不会暴露在公网 暴露的一般没多重要吧 改改端口密码 随便他扫吧
    mikewang
        27
    mikewang  
       65 天前
    看了眼我的 fail2ban ,已经封了 13,552 个 IP 了
    这些都是全网扫 IP 端口爆破密码的,而且是毫无根据的瞎猜,我就当它们不存在罢

    https://imgur.com/I2D5ygG
    Serialize
        28
    Serialize  
       65 天前
    不要用默认端口,设置尝试几次就 ban 掉,我 qnap 的 nas 就这么整的,还有域名别用 qnap 提供的
    defv2er
        29
    defv2er  
       65 天前
    最近我也被天天登录了,NGINX 里面过滤一下就好,我直接加了个 accept language 就清净了
    wonderblank
        30
    wonderblank  
       64 天前
    1. 改 ssh 端口
    2. 只接收 key 登陆
    3. fail2ban 或者 sshguard

    以上只要做到两点,基本就不会出问题。

    我是全部都做,工作 9 年,从未出现过类似问题。
    codehz
        31
    codehz  
       64 天前 via iPhone
    不开端口
    用 cf Argo tunnel 配置 cf 侧的 access ,然后就几乎没有访问日志了
    showgood163
        32
    showgood163  
       64 天前
    @des

    IPV6 扫到实在是有难度,是不是 DDNS 的问题?但因噎废食不用 IPV6 也让人难受
    TsukiMori
        33
    TsukiMori  
       63 天前 via Android
    我压根就没给路由器防火墙放出 Nginx 和 p2p 软件之外的端口
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3044 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 10:48 · PVG 18:48 · LAX 03:48 · JFK 06:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.