V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
uxstone
V2EX  ›  云计算

阿里云 ECS 遭到属于阿里云 ip 的暴力破解攻击

  •  
  •   uxstone · 2016-05-10 08:18:46 +08:00 · 12605 次点击
    这是一个创建于 2880 天前的主题,其中的信息可能已经有所发展或是发生改变。

    之前在云盾里看到过暴力破解的攻击,ip 都是乱的,什么地方的都有,

    但最近半个月的暴力破解都是来自阿里云自己的 ip, 提交工单,阿里云也就敷衍下,压根就没有实际动作(说会关停相应的攻击者的主机)

    你们也遇到过同样情况吗? 特别是这个 120.27.122.161
    云盾显示攻击者全球累计攻击次数: 10345 还能照常访问。。。。

    哪天一不留神就做了别人的肉鸡

    44 条回复    2016-05-27 12:42:56 +08:00
    wy315700
        1
    wy315700  
       2016-05-10 08:23:29 +08:00 via Android
    只能说攻击者用了阿里云的机器罢了
    Bardon
        2
    Bardon  
       2016-05-10 08:25:38 +08:00
    大多是 80 端口的扫描吧,只要你的 web 程序不是老古董,那么无视即可,别被阿里云恐吓了。
    挂个纯静态页面,也能提示你受到各种各样的攻击。

    如果 ssh 爆破,那么显然你需要一个 ssh key 。
    aheadlead
        3
    aheadlead  
       2016-05-10 08:33:28 +08:00
    你的才 5 位数……
    aivier
        4
    aivier  
       2016-05-10 08:39:19 +08:00 via Android
    每天登陆 SSH 都能看到几十万次的爆破,密码够强也没什么关系~
    Keyes
        5
    Keyes  
       2016-05-10 08:58:43 +08:00 via iPhone
    yum install denyhosts
    systemctl enable denyhosts
    systemctl start denyhosts
    然后 ssh 改成证书登陆,应用没问题就很难被人爆破
    openbaby
        6
    openbaby  
       2016-05-10 09:19:41 +08:00
    如果必须要用密码登陆的话,
    1.阿里云安全组配置只开放相应对外服务端口,其他端口一律阻止。
    2.修改 ssh 端口
    3.设置复杂用户名&12 位以上数字大小写字母符号密码
    4.禁止 root 登陆
    5.su-密码设置为另一个 12 位数字大小写字母符号密码
    6.限制每 10 秒扫描 5 个端口即拉黑 600 分钟。


    你整成这样,扫的人也就没劲了,这 TM 要扫到猴年马月。。
    heiguo
        7
    heiguo  
       2016-05-10 09:23:25 +08:00
    可以配一个 fail2ban
    Vie
        8
    Vie  
       2016-05-10 09:27:31 +08:00
    @openbaby 猴年马月貌似快到了。。。
    Laynooor
        9
    Laynooor  
       2016-05-10 09:29:55 +08:00 via Android
    我的 ECS 和这个 IP 在同一网段.. 应该也是学生机
    realpg
        10
    realpg  
       2016-05-10 10:28:53 +08:00
    @Laynooor
    建立个蜜罐环境,设置个弱口令,被破解后看看他要干什么,然后报网警
    我玩过
    BOYPT
        11
    BOYPT  
       2016-05-10 10:29:56 +08:00
    我猜是阿里云的云盾什么都有自己的扫描系统……
    icybee
        12
    icybee  
       2016-05-10 10:43:11 +08:00
    证书安全很多 && 写程序稍微注意一下安全性
    openbaby
        13
    openbaby  
       2016-05-10 10:45:59 +08:00
    @Vie 额,你懂的我说的猴年马月一般人见不到的。。
    wujunze
        14
    wujunze  
       2016-05-10 10:59:13 +08:00
    @aivier 怎么看到爆破记录?

    @realpg 这个主意不错 有没有具体操作步骤?
    WildCat
        15
    WildCat  
       2016-05-10 11:00:11 +08:00 via iPhone
    @wujunze 把默认端口改别的
    挂载个 docker 容器 ssh 端口到 22 就好了
    wujunze
        16
    wujunze  
       2016-05-10 11:02:21 +08:00
    @WildCat 然后要不要装上记录入侵者信息的软件?
    8cbx
        17
    8cbx  
       2016-05-10 11:14:28 +08:00
    一个办法是手动添加黑名单,就在 ECS 的安全组里,另外一种方法就是在服务器里面配上 Google Authentication ,每次登陆服务器需要动态验证,这样所有爆破就不用理会了
    aivier
        18
    aivier  
       2016-05-10 11:34:48 +08:00 via Android
    @wujunze 每次成功登陆都有提示,/var/log/secure
    kn007
        19
    kn007  
       2016-05-10 12:06:11 +08:00
    换个端口, 22 做个伪装,或者直接利用 fail2ban ,尝试 22 就 ban
    esile
        20
    esile  
       2016-05-10 12:56:38 +08:00 via iPhone
    随机 16 位大小写特殊符号数字密码 他有兴趣就让它破呗 怕啥
    helloworld01
        21
    helloworld01  
       2016-05-10 13:00:22 +08:00
    @openbaby 的建议,楼主可以采纳。攻击行为来自不同的服务商,阿里云可以处理自己违规 IP ,但是处理不了外边 IP 对您服务器的攻击,所以首先提升自身防御能力还是很有必要的。
    kaupelot
        22
    kaupelot  
       2016-05-10 13:05:03 +08:00
    @Keyes 正解
    aliyunservice
        23
    aliyunservice  
       2016-05-10 13:10:36 +08:00
    您好, 您提交工单后,阿里云会核实您提供的攻击信息,经核实该 IP 确实有攻击行为,我们会关停该 IP 所属服务器,同时通告该服务器所有者,排查原因,处理完毕后才可再次开启。经确认,您工单中提交的该 IP 确实存在攻击行为,我们已经关停了该 IP 所属服务器,感谢您对阿里云的支持。另外,提升安全防御能力,可以将此类安全问题防患于未然!
    just1
        24
    just1  
       2016-05-10 13:10:48 +08:00 via Android
    国内大多都是用阿里的服务器做攻击扫描的,有什么问题吗
    qqmishi
        25
    qqmishi  
       2016-05-10 16:00:56 +08:00
    我记得以前就有个用阿里云服务器来盗淘宝账号的新闻,,,
    爆破就爆破呗,记录下他们尝试的口令不就是一个弱口令库了嘛
    ragnaroks
        26
    ragnaroks  
       2016-05-10 17:30:12 +08:00
    虽然我也用阿里的机器,但是我的机器直接屏蔽 121.40.*这个段,原因就不用我多说了
    uxstone
        27
    uxstone  
    OP
       2016-05-10 18:59:09 +08:00
    @ragnaroks 为啥?
    strwei
        28
    strwei  
       2016-05-10 19:18:46 +08:00
    安利一个小技巧阿狸云的机器开通按秒计费有 bug ,可以不扣钱,自己研究吧
    ladyv2
        29
    ladyv2  
       2016-05-10 19:32:28 +08:00
    @8cbx 然而 google 被墙了。。。开启之后直接不能登录了
    msg7086
        30
    msg7086  
       2016-05-10 21:01:50 +08:00
    @ladyv2 google authentication 需要连接 google 吗
    tSQghkfhTtQt9mtd
        31
    tSQghkfhTtQt9mtd  
       2016-05-10 21:05:39 +08:00 via Android
    不愧是全球工单论坛, 5 小时处理完成(
    另外
    @8cbx google authentication 国内能用吗
    xuhaoyangx
        32
    xuhaoyangx  
       2016-05-10 21:08:45 +08:00
    证书登录 +谷歌的 authentication+fail2ban deny+iptables 关闭端口检测特定数据包打开端口+定期打打补丁
    binux
        33
    binux  
       2016-05-10 21:25:27 +08:00
    @strwei 让我猜猜

    在不考虑优惠系统 bug 情况下

    按秒计费就是 时间 * 单价,如果从时间上做手脚,那就是开始时间或者结束时间。如果从单价做手脚就是改成 0 。不过如果是用户输入未检查的 bug 就太蠢了。

    然后根据用的是「不扣钱」的描述,也有可能是扣费阶段的 bug 。扣费周期,机制漏洞都有可能。没用过,猜不出。
    alect
        34
    alect  
       2016-05-10 22:11:51 +08:00
    呵呵,表示我屏蔽了很多来自阿里云的 IP 段
    ladyv2
        35
    ladyv2  
       2016-05-11 07:54:34 +08:00
    @msg7086 需要的啊。我记得是需要连接 https://chart.googleapis.com/
    8cbx
        36
    8cbx  
       2016-05-11 09:12:13 +08:00
    @ladyv2 不需要连 google ,只需要 apt-get 一个包,然后本地配置完成关联到 ssh 上。配完之后会给你一个二维码,你拿 google authentication 的 app 扫一下就 OK 。 app 各大平台上都有,也不用翻。
    @liwanglin12 国内能用
    cheng007
        37
    cheng007  
       2016-05-11 09:24:21 +08:00
    我已经把 ssh Root 远程登录关了,黑客同时猜中账号和密码的可能性为 0
    kookxiang
        38
    kookxiang  
       2016-05-11 10:16:06 +08:00
    阿里云针对 ssh 攻击不多啊,挂了个蜜罐,一个月才几次的样子
    x8888k
        39
    x8888k  
       2016-05-11 10:57:44 +08:00
    安装 denyhosts
    62900015
        40
    62900015  
       2016-05-11 14:08:28 +08:00
    每天都有来自如阿里云的攻击者,提交工单以后依然没有处理,总是敷衍。
    goodryb
        41
    goodryb  
       2016-05-11 16:07:55 +08:00
    如果不是阿里云的 IP 攻击你 1 万多次,你投诉谁?
    上面 V 友也说了很多预防的办法,如果你特别注意安全,搭配一些防暴力破解措施又有什么问题呢
    uxstone
        42
    uxstone  
    OP
       2016-05-11 17:00:31 +08:00
    @goodryb 受教了
    vincixu
        43
    vincixu  
       2016-05-11 17:39:29 +08:00
    @ragnaroks 啥原因?没备案?
    ragnaroks
        44
    ragnaroks  
       2016-05-27 12:42:56 +08:00
    @vincixu 阿里云天天被阿里云打
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5330 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 59ms · UTC 08:11 · PVG 16:11 · LAX 01:11 · JFK 04:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.