请问这种ssh bot是怎么扫到我的？

cxf5102 · 发表于 2021-4-23 20:51

我发现，我的SSH有一堆这种记录
sshd: Bad protocol version identification 'CNXN' from 45.148.10.50 port 37552
sshd: Disconnected from invalid user songcan 178.128.201.18 port 53096 [preauth]
sshd: Disconnected from invalid user wukun 178.128.201.18 port 50394 [preauth]
也不算太多，主要就是178.128.201.18这个IP扫了1500多次。

我知道有人扫很正常。但是，我在路由器上只做了一个端口映射到本地的22端口，而上面这些50394 ，53096都不是我设置的映射端口。那么问题是
1. 按照我的理解，这些访问应该直接会被路由器挡掉，为什么这里没有？
2. 请问如何让这些访问直接被路由器拦掉？

SICP · 发表于 2021-4-23 21:30

fail2ban或者换SSH端口或者限制IP访问

cxf5102 · 发表于 2021-4-23 21:33

SICP 发表于 2021-4-23 21:30
fail2ban或者换SSH端口或者限制IP访问

我并不太担心有谁能登录进来，因为我根本没开密码登录，必须要公钥。
我只是觉得自己对路由器或者说SSH的理解可能有问题，所以想问问怎么回事。

lotsbiss · 发表于 2021-4-23 21:36

对方用50394访问你的22端口

SICP · 发表于 2021-4-23 21:36

cxf5102 发表于 2021-4-23 21:33
我并不太担心有谁能登录进来，因为我根本没开密码登录，必须要公钥。
我只是觉得自己对路由器或者说SSH的 ...

他访问你会带他那边的Port信息，不是你的

cxf5102 · 发表于 2021-4-23 22:09

SICP 发表于 2021-4-23 21:36
他访问你会带他那边的Port信息，不是你的

听上去很合理，这个日志确实可以这么理解，谢谢。

ambivalence · 发表于 2021-4-23 22:15

那是源端口

First_Snow · 发表于 2021-4-23 22:28

建议把默认的22端口改了，一下子就清净了

DTCPSS · 发表于 2021-4-23 23:01

我把SSH改到3389了

Saker_bobo · 发表于 2021-4-23 23:15

把最外层路由映射的端口改4W+可以大幅减少被扫到的几率

lwa190212 · 发表于 2021-4-23 23:20

问问用openssh开的sshd被扫到端口，被攻破几率大吗？
配置了禁用root，只允许用密钥登陆

Evilgurren · 发表于 2021-4-23 23:31

除非有openssh的0day否则没戏

		自动登录	找回密码
密码			立即注册

[网络] 请问这种ssh bot是怎么扫到我的？