Google Analytics 上常有俄罗斯的 Spambots 光顾,联想到我唯一一台没有禁用 root 的弱口令服务器,感觉自己托大了,登陆后用 $ cat /var/log/auth.log 查看日志,倒吸一口冷气。

whois 粗略查了下,穷举用户名的 IP 主要来自 Azure 和 DigitalOcean 这些云服务器,还有一个 202.114.72.243 的武汉大学 IP。

暴力破解 root 密码的更为夸张,最多的居然有 25656 次,前五位来自中国广东省和江苏省,不是『肉鸡』就是挂着字典。

以前的 Google Cloud 服务器也是三天两头被来自巴西的 IP 扫,可频次与这次比不是一个数量级。

还磨蹭什么?马上adduser,禁 root ,换端口,并且把那几个 IP 全加到 /etc/hosts.deny 下。接着安装 denyhosts,root 因为禁了,尝试三次就进黑名单,猜用户名的也给三次机会,蒙对用户名的朋友再给五次猜密码机会,机会用完者直接进 /etc/hosts.deny,永不洗白,叫你再扫!老规矩,root和user密码用 1Password 随机生成 50 位,其中包含10位数字+10位特殊字符,坚决不用免密登录,没随身带私钥的习惯。

配置完后顺带把自己也一锅端干成了「connection reset by peer」,改连接手机热点用蜂窝网络登陆,把当前地址加到 /etc/hosts.allow 里,重启 sshd 再次连接本地 WiFi 后才算搞定。

由此经过就联想到了 @kamonka 不久前发布的 NHK 纪录片『网络冲击波 ~被猎取的日本机密情报~』,磁力链接 eMule 地址在这里。在此对 @kamonka 长年的翻译与传播深表谢意!

『网络冲击波 ~被猎取的日本机密情报~』中把入侵者(不是黑客,Hacker 与 Cracker 有本质区别)常用的手法展现在普通观众面前,比如邮件钓鱼后安装木马,后台静默上传数据,侵入弱密码服务器捕获成『肉鸡』,扫描被感染硬盘中的数据文件上传中转服务器等,兼具利用社会工程和暴力破解,不仅大企业中招,一些毫不相干的小餐饮店与畜牧合作社的主页托管服务器也被攻陷成为数据中转站,达到掩人耳目的效果。很不幸,那些最终能被回溯到的服务器都在中国,又以广东省居多。

我在国内没有任何服务器,所有的 VPS 都在欧洲、美国和日本。欧洲的 VPS 很少有中国人使用,在中国入侵者眼中它和其他万万千千的欧美服务器没任何区别。

行吧,干完那批 SSH Scanners,回头要在这台美国西海岸的服务器上对付俄罗斯的 Spambots,稍有些麻烦。Google Analytics 设定 Filter 并不能阻止那些 Referral 过来的访问,真要惹急了只能在 Nginx 里 rewrite .htaccess 屏蔽掉整个俄罗斯的 IP,走着瞧。。。


Acknowledgement and Reference

  1. NHK纪录片精选 — NHK(日本放送协会)制作和播放的记录纪实和教育性节目的介绍 https://kamonka.blogspot.com
  2. VPS 防止 SSH 暴力登陆尝试攻击 by Zeng Xi http://www.lovelucy.info/vps-anti-ssh-login-attempts-attack.html