全球主机交流论坛

标题: 现在怎么那么多人闲的蛋疼爆破高位端口rdp？ [打印本页]

作者: zhaoyi1022 时间: 2023-9-27 10:20
标题: 现在怎么那么多人闲的蛋疼爆破高位端口rdp？
背景：公司内网封锁一切穿透，各种第三方远程桌面限速卡到怀疑人生，唯一远程办法是用家宽开启ssh，公司建立隧道映射3389端口（已改高位）

结果：有时候没事，有时候一天几千上万条爆破记录，IP遍布全球，当然主要还是国内。因为是ssh映射，还没法常规手段banip，只能手动黑名单

想不通真有这么多人闲着蛋疼扫高位端口爆破rdp的吗？既然已经改成高位端口了，肯定不可能还留个弱口令让你爆破啊。。。想不通想不通。。。

作者: rem 时间: 2023-9-27 10:21
为什么黑名单白名单才是正解

作者: zhaoyi1022 时间: 2023-9-27 10:24

rem 发表于 2023-9-27 10:21
为什么黑名单白名单才是正解

用过一段白名单，但是经常外出使用，还经常换设备登录，白名单太太太麻烦了。。。

作者: alog148 时间: 2023-9-27 10:27
本帖最后由 alog148 于 2023-9-27 10:32 编辑

封ip还是有分布式爆破
封了633个ip
这才是闲得蛋疼，发现我封ip之后，用分布式爆破我ssh

作者: zhaoyi1022 时间: 2023-9-27 10:32

alog148 发表于 2023-9-27 10:27
封ip还是有分布式爆破
封了633个ip

我这分布式也很多，一般一二十个ip一起上，不过我这是通过ssh隧道，没办法用传统办法自动ban ip，每次手动黑名单那很是头大

作者: alfredo 时间: 2023-9-27 11:42
不要小看这些菜逼，菜逼很多机器的，即使SSH关了密码登录，依然不断尝试，菜逼很坚持的哈哈哈哈

作者: alfredo 时间: 2023-9-27 11:43
建议用厂商的firewall，直接按网段屏蔽，毕竟fail2ban也比较占内存，iptables 表太大了也不好

作者: zhaoyi1022 时间: 2023-9-27 14:23

alfredo 发表于 2023-9-27 11:43
建议用厂商的firewall，直接按网段屏蔽，毕竟fail2ban也比较占内存，iptables 表太大了也不好 ...

我是用自家家宽透传，根本就没这好条件

作者: kagurazakashira 时间: 2023-9-27 16:36
买个小鸡自己自己起个zerotier planet

作者: acaiplus 时间: 2023-9-27 16:39
没有公网IP就没有这么破事了。所以收走你们的公网IP是正确的。

作者: zhaoyi1022 时间: 2023-9-27 16:41

kagurazakashira 发表于 2023-9-27 16:36
买个小鸡自己自己起个zerotier planet

我们公司网管事b，什么zerotier，frp啥的，秒封内网ip，而且是永封，两百人的部门只给一个内网c类，已经让我搞坏两个ip了，现在老老实实ssh映射

作者: justfkqq 时间: 2023-9-27 16:43
我映射的3389（高位端口号）也是经常有人爆破，在windows日志里面可以看到，很多用administrator admin来尝试登录的
不过我早就重命名了账户名
ssh好办，直接改成密钥登录就行了。windows没办法。

作者: diy 时间: 2023-9-27 16:43
这种情况今年才开始！可能和大量资源释放有关，瞎猜的

作者: zhaoyi1022 时间: 2023-9-27 16:57

justfkqq 发表于 2023-9-27 16:43
我映射的3389（高位端口号）也是经常有人爆破，在windows日志里面可以看到，很多用administrator admin来 ...

感觉这帮人智商不够浪费带宽，能改高位端口的还会用弱密码？用脚趾头想想都不可能

作者: kenutu 时间: 2023-9-27 17:24
其中有一个原因，国内的是三方公司在扫，今天早上刚接到相关的电话，然后告诉我有75个漏洞（一个HTML页面），然后要求修复，限期整改，如果修复不了，他们给推荐公司，看了下后台的IP ，就是哪个公司的名称，前年就弄过类似的类似事，

作者: Celestine 时间: 2023-9-27 17:27
真麻烦，买一个便宜的VPS，做成堡垒机

作者: zhaoyi1022 时间: 2023-9-27 17:49

Celestine 发表于 2023-9-27 17:27
真麻烦，买一个便宜的VPS，做成堡垒机

长期连国外ip会被网关审查，国内vps那点小水管远程桌面卡成狗。。。

作者: sanxian 时间: 2023-9-27 17:50
提示: 作者被禁止或删除内容自动屏蔽

作者: zhaoyi1022 时间: 2023-9-27 17:51

kenutu 发表于 2023-9-27 17:24
其中有一个原因，国内的是三方公司在扫，今天早上刚接到相关的电话，然后告诉我有75个漏洞（一个HTML页面） ...

应该不会吧，我用的ssh穿透，办公室几台机器的ip地址都是自家家宽ip

作者: Celestine 时间: 2023-9-27 17:53

zhaoyi1022 发表于 2023-9-27 17:49
长期连国外ip会被网关审查，国内vps那点小水管远程桌面卡成狗。。。

那就再做个国内中转

作者: zhaoyi1022 时间: 2023-9-27 17:53

sanxian 发表于 2023-9-27 17:50
为什么不在公司还要干活抗议啊

写辞职信抗议是吧，那确实可以

作者: weixiangnan 时间: 2023-9-27 18:36
直接装防火墙啊，我装完之后基本没人扫了

作者: scheme 时间: 2023-9-28 04:54
禁止密码登录，安装fail2ban

作者: swds 时间: 2023-9-28 07:17
既然已经通过家宽中转了，自己家电脑还不是随便折腾，连接办法太多了。

作者: lewissue 时间: 2023-9-28 07:26
本帖最后由 lewissue 于 2023-9-28 07:27 编辑

扫端口很赚钱，有利润就有人
扫到机器用来给人发诈骗邮件，托管诈骗网页

欢迎光临全球主机交流论坛 (https://lilynana.eu.org/)