本文转载于9090社区，帖子链接：https://www.kk9090.top/thread-565180-1-1.html

作者: OutDate    时间: 2025-2-17 11:11
本帖最后由 OutDate 于 2025-2-17 11:22 编辑

无意中看了下日志，被每10秒钟尝试登录一次ssh，绝大部分用户名是root，还间隔着使用随机的用户名如star dell chenlu，这明显是被攻击了。
这个群晖放在内网一级路由下面，开了22端口映射。因为我的网络比较复杂，群晖兼作upn、zt0服务器，一时搞不清攻击是从外面进来的，还是内网或者vpn客户端有肉鸡。从攻击来源于主路由192.168.0.1地址来看，应该是来自于公网。
于是设置了限制登录次数加黑名单，日志消失，过一个小时从黑名单再放出来，又产生有攻击日志，而且间隔还缩短了，每2-3秒攻击一次，还攻击脚本还智能化了，感觉到攻击行为被发现了，加快了进度？
于是把黑名单解除时间设为一年，然后暂时把公网端口映射关掉了。

image.jpg (197.42 KB, 下载次数: 0)下载附件2025-2-17 11:06 上传

---

作者: 取个名儿难    时间: 2025-2-17 12:03
不要把22暴露在公网啊。改个端口或用证书登录 。另外用VPN登录 就算安全的

---

作者: parkervon1    时间: 2025-2-17 12:12
估计攻击的目的是什么呢，把你文件加密了索取赎金？

---

作者: zxzx    时间: 2025-2-17 13:01
这是暴露在互联网的常态

---

作者: 风林火山    时间: 2025-2-17 13:20
上主路由看一下日志

---

作者: java    时间: 2025-2-17 13:54
我是esxi下的黑裙和爱快
我只暴露公网爱快的openvpn。要访问先openvpn进入内网。然后通过内网ip访问。。。
不暴露公网任何服务

---

作者: 卖艺不卖身    时间: 2025-2-17 14:45
在公网开放22端口，就要做好这个准备。
我有个vps，每天的登录失败日志，长的吓人。幸亏我用的密钥登陆，禁止密码登录。日志都是几十兆大小。
后来看着烦，把端口改成10000多，少多了，还是有。
后来直接关了ssh，使用tailscale 的ssh功能。这下清净了。
但是我这个是邮件服务器，有的端口不能关掉，时不时还是有攻击。
下图就是fail2ban拦截的
image.jpg (47.78 KB, 下载次数: 0)下载附件2025-2-17 14:44 上传

---

作者: 卖艺不卖身    时间: 2025-2-17 14:51
家里的服务，尽量少对互联网开放，你可以试试把ssh端口映射时改一个很大的数字，这样会少很多攻击。
都是一些无事佬搞个工具在那用字典慢慢试。

---

作者: 三度烧伤之复活    时间: 2025-2-17 20:21
吓得我一激灵赶紧登上路由看日志。

---

作者: 为梦燃烧    时间: 2025-2-17 22:30
这种事情，人家攻击你，图个啥呢？

---

作者: 摇滚一族    时间: 2025-2-24 09:51
都是一个IP段一个IP段群扫的，太正常了

---

作者: 无垠原野    时间: 2025-2-28 12:38
你22不关 啊 那被扫是活该

---

作者: tiger754    时间: 2025-3-1 17:37
源地址是路由器，确实比较奇怪，按照一般路由器做NAT，是目的地址转换，源地址不变，检查下路由器是不是做的双向转换

在客户那遇到类似问题，因为内网需要满足使用公网地址访问内网应用，出口做的双向地址转换，但内网抓包的网路攻击无法溯源源地址了

本文转载于9090社区，帖子链接：https://www.kk9090.top/thread-565180-1-1.html