flyzy博客
背景:公司内网封锁一切穿透,各种第三方远程桌面限速卡到怀疑人生,唯一远程办法是用家宽开启ssh,公司建立隧道映射3389端口(已改高位)
结果:有时候没事,有时候一天几千上万条爆破记录,IP遍布全球,当然主要还是国内。因为是ssh映射,还没法常规手段banip,只能手动黑名单
想不通真有这么多人闲着蛋疼扫高位端口爆破rdp的吗?既然已经改成高位端口了,肯定不可能还留个弱口令让你爆破啊。。。想不通想不通。。。
青海省网友说:为什么黑名单 白名单才是正解
湖北省网友说:用过一段白名单,但是经常外出使用,还经常换设备登录,白名单太太太麻烦了。。。
山东省网友说:封ip还是有分布式爆破
封了633个ip
这才是闲得蛋疼,发现我封ip之后,用分布式爆破我ssh
贵州省网友说:我这分布式也很多,一般一二十个ip一起上,不过我这是通过ssh隧道,没办法用传统办法自动ban ip,每次手动黑名单那很是头大
江西省网友说:不要小看这些菜逼,菜逼很多机器的,即使SSH关了密码登录,依然不断尝试,菜逼很坚持的 哈哈哈哈
安徽省网友说:建议用厂商的firewall,直接按网段屏蔽,毕竟fail2ban也比较占内存,iptables 表太大了也不好
