我在我的互联网盒子上(在法国的SFR)连接了我的复盆子PI型号B。我的盒子将其端口8080上的所有请求重定向到其端口808上的我的树莓,在那里我有一个侦听端口8080的应用程序。要访问我的树莓应用程序,它是一个网站,你必须在你的网络浏览器中键入IP地址,或者在端口8080上键入DTDNS地址和访问权限。(myip:8080或mydress.dtdns.net:8080)我在我的树莓上记录每个连接,然后我有这个结果(所有IP地址对我来说都是未知的。
我的问题是:这些联系是什么?它们来自哪里?是机器人还是其他东西?如果你有什么解释,我就接受。有没有机器人可以扫描世界上每个IP地址上的每个端口?
years-month-day hours:minute:seconds : IP adress call ...
2016-03-30 07:48:47 : 93.174.93.94 call GET /
2016-03-30 11:19:13 : 202.62.86.140 call HEAD /manager/html
2016-03-30 15:41:23 : 104.148.71.133 call GET http://azenv.net/
2016-03-30 15:41:23 : 104.148.71.133 call GET http://proxyworld.perso.sfr.fr/azenv.php
2016-03-30 15:41:42 : 104.148.71.133 call GET http://domkrim.com/av.php
2016-03-30 15:41:43 : 104.148.71.133 call GET http://azenv.net/
2016-03-30 15:41:43 : 104.148.71.133 call GET http://proxyworld.perso.sfr.fr/azenv.php
2016-03-30 15:42:03 : 104.148.71.133 call GET http://proxyworld.perso.sfr.fr/azenv.php
2016-03-30 20:01:28 : 210.91.40.88 call GET //script
2016-03-30 20:01:29 : 210.91.40.88 call GET //script
2016-03-30 20:01:33 : 210.91.40.88 call GET //script
2016-03-30 20:01:35 : 210.91.40.88 call GET //script
2016-03-30 20:12:00 : 93.174.93.94 call GET /
2016-03-31 02:05:25 : 93.174.93.94 call GET /
2016-03-31 02:30:48 : 104.148.71.133 call GET http://www.proxy-listen.de/azenv.php
2016-03-31 02:30:48 : 104.148.71.133 call GET http://www.proxy-listen.de/azenv.php
2016-03-31 02:31:08 : 104.148.71.133 call GET http://www.mesregies.com/azz.php
2016-03-31 02:31:08 : 104.148.71.133 call GET http://domkrim.av/.php
2016-03-31 02:31:08 : 104.148.71.133 call GET http://www.proxy-listen.de/azenv.php
2016-03-31 02:31:28 : 104.148.71.133 call GET http://www.proxyjudge.info/azenv.php
2016-03-31 08:24:50 : 222.186.34.155 call GET https://m.baidu.com/
2016-03-31 08:24:52 : 222.186.34.155 call GET https://m.baidu.com/
2016-03-31 08:24:52 : 222.186.34.155 call GET https://m.baidu.com/
2016-04-09 04:10:59 : 91.236.75.4 call GET http://www.google.com/reader/about/
2016-04-09 09:42:26 : 93.174.93.94 call GET /
2016-04-09 10:23:18 : 80.82.78.38 call GET http://www.baidu.com/cache/global/img/gs.gif
2016-04-09 10:23:19 : 80.82.78.38 call GET http://www.baidu.com/cache/global/img/gs.gif
2016-04-09 10:23:21 : 80.82.78.38 call GET http://www.baidu.com/cache/global/img/gs.gif
2016-04-09 10:23:25 : 80.82.78.38 call GET http://www.baidu.com/cache/global/img/gs.gif
2016-04-09 10:23:33 : 80.82.78.38 call GET http://www.baidu.com/cache/global/img/gs.gif
2016-04-09 10:23:49 : 80.82.78.38 call GET http://www.baidu.com/cache/global/img/gs.gif
2016-04-09 19:57:09 : 146.0.43.8 call GET /
2016-04-09 20:57:08 : 93.174.93.94 call GET /
2016-04-10 03:16:35 : 185.92.72.15 call GET /
2016-04-10 03:16:35 : 185.92.72.15 call GET /HNAP1/
2016-04-10 11:52:40 : 91.236.75.4 call GET http://www.google.com/reader/about/
他们正在试图查找服务器中的漏洞。我每天都在我的服务器上看到这些。
请记住:不索引IP地址是而不是安全改进:试图攻击用户的僵尸网络不关心dns,而是IP。这就像你的家:你的街道和地址都是公共的,但最好把门关上。
我每天看到的是对ssh进行字典攻击的机器人,以及对80和8080端口进行常见漏洞检查的机器人。
通常,机器人是启用了upnp且DEFAULT管理员登录不变的iot设备。有时,它们是带有默认登录数据的树莓派(和类似的)。
因此,你能做的最好的对策是更改默认登录,如果不需要,禁用upnp,如果可以,禁用普通用户的登录(如root、admin、pi、ecc)
在用户名前添加一些字符(如将pi更改为user_pi)可以帮助您抵御字典攻击(预先编程的用户名/密码组合),但强密码是最好的。使用本地化名称是行不通的:有时机器人会根据你的ip位置尝试不同的词典。