现在怎么那么多人闲的蛋疼爆破高位端口rdp？

zhaoyi1022 · 发表于 2023-9-27 10:20:05

背景：公司内网封锁一切穿透，各种第三方远程桌面限速卡到怀疑人生，唯一远程办法是用家宽开启ssh，公司建立隧道映射3389端口（已改高位）

结果：有时候没事，有时候一天几千上万条爆破记录，IP遍布全球，当然主要还是国内。因为是ssh映射，还没法常规手段banip，只能手动黑名单

想不通真有这么多人闲着蛋疼扫高位端口爆破rdp的吗？既然已经改成高位端口了，肯定不可能还留个弱口令让你爆破啊。。。想不通想不通。。。

kenutu · 发表于 2023-9-27 17:24:14

其中有一个原因，国内的是三方公司在扫，今天早上刚接到相关的电话，然后告诉我有75个漏洞（一个HTML页面），然后要求修复，限期整改，如果修复不了，他们给推荐公司，看了下后台的IP ，就是哪个公司的名称，前年就弄过类似的类似事，

alfredo · 发表于 2023-9-27 11:42:01

不要小看这些菜逼，菜逼很多机器的，即使SSH关了密码登录，依然不断尝试，菜逼很坚持的哈哈哈哈

rem · 发表于 2023-9-27 10:21:23

为什么黑名单白名单才是正解

zhaoyi1022 · 发表于 2023-9-27 10:24:45

rem 发表于 2023-9-27 10:21
为什么黑名单白名单才是正解

用过一段白名单，但是经常外出使用，还经常换设备登录，白名单太太太麻烦了。。。

alog148 · 发表于 2023-9-27 10:27:57

本帖最后由 alog148 于 2023-9-27 10:32 编辑

封ip还是有分布式爆破
封了633个ip
这才是闲得蛋疼，发现我封ip之后，用分布式爆破我ssh

zhaoyi1022 · 发表于 2023-9-27 10:32:38

alog148 发表于 2023-9-27 10:27
封ip还是有分布式爆破
封了633个ip

我这分布式也很多，一般一二十个ip一起上，不过我这是通过ssh隧道，没办法用传统办法自动ban ip，每次手动黑名单那很是头大

alfredo · 发表于 2023-9-27 11:43:28

建议用厂商的firewall，直接按网段屏蔽，毕竟fail2ban也比较占内存，iptables 表太大了也不好

zhaoyi1022 · 发表于 2023-9-27 14:23:10

alfredo 发表于 2023-9-27 11:43
建议用厂商的firewall，直接按网段屏蔽，毕竟fail2ban也比较占内存，iptables 表太大了也不好 ...

我是用自家家宽透传，根本就没这好条件

kagurazakashira · 发表于 2023-9-27 16:36:05

买个小鸡自己自己起个zerotier planet

acaiplus · 发表于 2023-9-27 16:39:51

没有公网IP就没有这么破事了。所以收走你们的公网IP是正确的。

		自动登录	找回密码
密码			注册

[疑问] 现在怎么那么多人闲的蛋疼爆破高位端口rdp？

点评

浏览过的版块