大约两个月前,我部署了一个 Ubuntu 服务器,其主要目的是为 Web 应用程序提供服务。但是,我还在开发应用程序,只是将服务器 IP 提供给我的同事和一些朋友进行测试。
昨天我检查了fail2ban 日志,发现许多来自中国、法国等地的SSH 暴力破解尝试可以追溯到我给出IP 之前。我还检查了我的服务器访问日志,并注意到对来自相同 IP 的 URL 的一些恶意尝试,试图暴力破解 SSH。他们提出的请求的一个例子是myip/otherip/file.php。我不确定如何解释这一点。我追溯了该服务器的 IP,它位于我所在的同一家托管公司。
问题:他们是如何在我什至从服务器提供应用程序或将其发布之前发现服务器的 IP 的?
我的猜测:我猜这是一些机器人不断尝试某种模式的不同 IP,导致同一托管公司的服务器。这是一个正确的假设,还是有其他可能性?
你的猜测很可能是正确的。
大型服务器托管商拥有连续的 IP 范围,从这些范围内将 IP 分配给客户。不知道自己在做什么的业余爱好者经常使用低预算主机,因此他们很可能使用容易猜到的密码或设置不安全的 Web 应用程序。这使得这些 IP 范围成为黑帽黑客的宝贵目标。
当您注意到来自主机网络内部的此类攻击时,您应该将它们报告给主机,因为这很可能违反了使用条款......或者黑帽已经成功的其他客户的服务器。
所有使用 IPv4 地址的服务器都会以自动扫描和蛮力尝试的形式获得一定程度的背景噪音。这基本上是因为扫描整个地址空间很容易 -不到一个小时,并且可能导致系统尚未完全修补或设置。
因此,我完全希望任何系统都能看到大量此类流量。这就是为什么在将服务器打开到 Internet之前理清安全性很重要的原因。保持防火墙打开,在设置时阻止任何传入流量。限制对已知 IP 地址的访问以进行测试。一旦你确定它是安全的,你就可以打开防火墙连接到互联网的其余部分。
如果您的服务器设置了反向 DNS 查找,一旦有人拥有 IP 地址,他们就可以查看您的系统认为它属于哪个域名,因此 URL 也会尝试。
基本上,如果您确定您的系统是安全的,请不要担心 - 确保您有合适的 SSH 密码(或者,更好的是,基于密钥的登录),并且任何其他服务都已正确锁定。如果您没有,或者您认为他们进入了,请将其视为受感染的服务器 - 整理您的防火墙(可能与您的托管服务提供商一起),然后重新开始。
您的 IP 就像一个电话号码。无需在任何地方列出即可使用它。事实上,它已经列在 BGP 协议的路由表部分,该协议是 ISP 用于创建“互联网”的协议。
众所周知,中国人(以及其他人)会尝试任何现有的 IP 地址,以查看服务是否正在监听它。您的服务器响应了他们的一项探测,然后他们尝试自动感染您。(基本上就是所谓的脚本攻击)
您网站的 URL 就像在电话簿中列出您的姓名一样,通过“号码”可以联系到您。这也将在您发布后立即被中国人使用,但不限制他们尝试进入之前。
在美国,arin.net 是 IP 地址块及其所属者的公共存储库。例如,此信息可帮助系统管理员处理垃圾邮件、路由或其他与网络外人员有关的问题。但它也有助于黑客。寻求经济利益的黑客可能会留下敏感的最终客户,如司法部、中央情报局或军方,而 arin.net 目录有助于排除这些。这样的黑客会更好地挖掘已发布的 GoDaddy、Amazon、DigitalOcean、Linode 和 Rackspace 范围。
每个大陆都有自己的目录,类似于 arin.net。
您也可以指望不受欢迎的访客,并做好相应的准备。