Ubuntu中文论坛

我建了四个服务器做测试，打算正式使用之前，检测了一下安全情况，发现大量IP来ssh的22端口暴力破解root密码。我就重新换了VPS的IP，重做了新的系统，结果查看/var/log/auth.log日志，发现在VPS服务器刚刚建立不到一分钟之后，再次被几个IP在22端口暴力破解Root密码。

公开的域名和IP被暴力破解很常见，但是我新建立的VPS，IP也是新的，怎么就马上有人来破解呢?
我建立第二个VPS服务器也是新IP，同样的情况，不到一分钟，也被几个IP暴力尝试连接22端口。

请问，
1 VPS建立的时候，IP如何被泄露？ 我电脑中木马了？ 还是新建立的VPS，IP自动就被公开了？
（为了防止自己电脑win10中木马，我再Win10里面弄了一个虚拟机，在虚拟机跑了一个Ubuntu，在Ubuntu里面登陆的账号，重新建立的VPS，结果出现了还是有一样的问题。）

2 如何简单有效的加强VPS安全呢？
网上列举了一些办法：
更换22端口
现在密码出错次数
禁止root登陆
改用密钥和公钥配对登陆SSH
DenyHosts 屏蔽暴力IP

3 如何检测VPS已经被黑？ 否则被黑了都不知道，更惨。
4大家的VPS如何？没有类似的经历？

wulongji 写了： 请问，
1 VPS建立的时候，IP如何被泄露？ 我电脑中木马了？ 还是新建立的VPS，IP自动就被公开了？
2 如何简单有效的加强VPS安全呢？
3 如何检测VPS已经被黑？ 否则被黑了都不知道，更惨。
4大家的VPS如何？没有类似的经历？

1. ip可能是重用过的，以前其他人的vps绑定过，之后vps注销掉ip重新分配的，或者是攻击方是直接暴力猜解整个网段。

2. 这些基本就够了吧。我反正是用脚本统计密码错误次数+host.deny + root禁止远程登录 + 密钥来防范的。

3. 阿里云记得有vps防护功能，上次git用户（没改gitshell）弱口令被扫出来了，阿里云立即就提示了。或者可以试试写脚本统计登录ip，如果发现有非常用ip就email提醒（移动用户发139邮箱能收到短信提醒）

4. 有过，不过是同学的，vps被黑了之后攻击者以此为跳板扫描整个vps提供商内网主机，被提供商发现了，给他发了几个ticket，但是48h内他没注意，导致账户被锁死。

你没装fail2ban么？超过多少次失败自动封掉IP一段时间，还有，ssh不要允许root登录（默认是不准root用密码登录），还有，改22作用不是很大，扫描程序会扫描所有开放端口的所有服务，自动扫描器一扫好几个网段的都有，和你公开不公开ip没任何关系

我的VPS配置很简单，目前还没被爆破过…

1. 端口我肯定不会设置为22，我会设置成好几万的
2. 我都是设置为无密码自动登录的，脚本：https://github.com/kashu/ssh.passwordless
3. PasswordAuthentication给禁用了
4. 我平时用的是Xubuntu系统，不是Windows，我也不知道自己的系统有没有中毒，中了毒我也不知道，因为我没用杀毒软件扫过。

好像也没了……

以前的是改了端口禁止root登录，现在这个是改了端口，和fail2ban
很奇怪我的貌似没人扫描

收藏


从我的 iPhone 发送，使用 Tapatalk