В который раз покупаю VPS, и наблюдаю ту же самую картину -- уже через полчаса ко мне начинают ломиться с левых IP-адресов с попыткой получить root-права.

Провайдеры разные -- были DigitalOcean, сейчас это RU VDS. В обоих случаях одно и то же.

Пробил по https://www.iplocation.net/ очередного дудосера -- IP-адрес из Китая.

Собственно, интересно, как они узнают о новых серверах? Провайдеры сливают / баги на серверах провайдеров? Или просто тыкаются по всем IP-адресам на дефолтный SSH-порт огромным ботнетом?

(если что, дудос аутентификацией -- это так, прикалываюсь)

Здравствуйте, b0r3d0m, Вы писали:

B>Собственно, интересно, как они узнают о новых серверах? Провайдеры сливают / баги на серверах провайдеров? Или просто тыкаются по всем IP-адресам на дефолтный SSH-порт огромным ботнетом?
Уверен что твой софт не сообщает информации этим китайцам?

K>Уверен что твой софт не сообщает информации этим китайцам?
Как можно быть на 100% уверенным в таких вещах? Исходники ОС и софта, установленного на ней, не смотрел. Но в целом кажется маловероятным (там, как правило, Node.js да clojure крутятся в сочетании с какими-нибудь MySQL и MongoDB).

Здравствуйте, b0r3d0m, Вы писали:

B>В который раз покупаю VPS, и наблюдаю ту же самую картину -- уже через полчаса ко мне начинают ломиться с левых IP-адресов с попыткой получить root-права.

как ты узнаешь, что ломятся, где смотришь?

_>как ты узнаешь, что ломятся, где смотришь?
/var/log/auth.log

Здравствуйте, b0r3d0m, Вы писали:

B>Собственно, интересно, как они узнают о новых серверах? Провайдеры сливают / баги на серверах провайдеров? Или просто тыкаются по всем IP-адресам на дефолтный SSH-порт огромным ботнетом?

За провайдером закреплен диапазон ip. Хакеры вероятно просто "пробегаются" регулярно по всему диапазону всех широко известный провайдеров.

DP>За провайдером закреплен диапазон ip. Хакеры вероятно просто "пробегаются" регулярно по всему диапазону всех широко известный провайдеров.
А что, информация об этих диапазонах публично доступна?

Здравствуйте, b0r3d0m, Вы писали:

B>В который раз покупаю VPS, и наблюдаю ту же самую картину -- уже через полчаса ко мне начинают ломиться с левых IP-адресов с попыткой получить root-права.
B>Провайдеры разные -- были DigitalOcean, сейчас это RU VDS. В обоих случаях одно и то же.
B>Пробил по https://www.iplocation.net/ очередного дудосера -- IP-адрес из Китая.
B>Собственно, интересно, как они узнают о новых серверах? Провайдеры сливают / баги на серверах провайдеров? Или просто тыкаются по всем IP-адресам на дефолтный SSH-порт огромным ботнетом?
B>(если что, дудос аутентификацией -- это так, прикалываюсь)
Не обращай внимания. Запрет входа рутом порт не 22, необычные имена юзеров, fail2ban и пусть ковыряются.

Здравствуйте, b0r3d0m, Вы писали:

_>>как ты узнаешь, что ломятся, где смотришь?
B>/var/log/auth.log


вот с****ки. ко мне тоже ломятся. у меня там даже где-то пароль стоил из 4х цифр. сбросил все, но, думаю, надо пересоздать сервер, потому что может быть сервер уже заражен каким-то трояном?
вообще, digital ocean назначает при создание сервера пароль из 16 цифр, думаю, это достаточно безопасно? за сколько его можно подобрать?

Здравствуйте, sin_cos, Вы писали:

_>вот с****ки. ко мне тоже ломятся. у меня там даже где-то пароль стоил из 4х цифр. сбросил все, но, думаю, надо пересоздать сервер, потому что может быть сервер уже заражен каким-то трояном?
_>вообще, digital ocean назначает при создание сервера пароль из 16 цифр, думаю, это достаточно безопасно? за сколько его можно подобрать?

Зачем? Сразу добавляй аутентификацию по ключу и в /etc/ssh/sshd_config ставь "PasswordAuthentication no", сразу после того как убедишься что по ключу работает

_>вообще, digital ocean назначает при создание сервера пароль из 16 цифр, думаю, это достаточно безопасно? за сколько его можно подобрать?
Зависит от набора символов в нём, но вообще долго. В любом случае, поставьте себе fail2ban (можно хотя бы с дефолтными настройками).

Здравствуйте, b0r3d0m, Вы писали:

DP>>За провайдером закреплен диапазон ip. Хакеры вероятно просто "пробегаются" регулярно по всему диапазону всех широко известный провайдеров.
B>А что, информация об этих диапазонах публично доступна?

Не интересовался, но я случайно натыкался на диапазоны датаценров AWS например. Помоему они сами их публиковали.
Думаю что можно найти. Или же примерно вычислить.

Здравствуйте, b0r3d0m, Вы писали:

B>В который раз покупаю VPS, и наблюдаю ту же самую картину -- уже через полчаса ко мне начинают ломиться с левых IP-адресов с попыткой получить root-права.

Это не DDoS. В том, чтобы за вполне приемлемое время пропинговать весь пул IP v4 уже давно нет ничего сложно. Подумайте, как информация о новых железках попадает, например, в Shodan (https://www.shodan.io/)? Что касается хостеров, то там ситуация проще — все выделенные им пулы IP непрерывно пингуются кучей хостов (в основном, принадлежащих ботнетам — помониторьте ICMP-трафик) и, как только обнаруживается живой сервер, начинают ломиться на него с брутфорсом SSH, набором актуальных сплоитов и т.п. Если в результате этого сервер удаётся поиметь, он рутуется и либо сам становится частью ботнета, либо оказывается полном в распоряжении атакующего до тех пор, пока надлом не будет обнаружен владельцем (что может вообще не произойти). Это всё полностью автоматизировано и актуально для любого более-менее крупного хостер.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, b0r3d0m, Вы писали:

B>>В который раз покупаю VPS, и наблюдаю ту же самую картину -- уже через полчаса ко мне начинают ломиться с левых IP-адресов с попыткой получить root-права.

KV>как только обнаруживается живой сервер, начинают ломиться на него с брутфорсом SSH, набором актуальных сплоитов и т.п. ...Это всё полностью автоматизировано и актуально для любого более-менее крупного хостер.

Круто! Интересно, кому принадлежат эти ботнеты. Это ведь титанический труд такую штуку сделать, поддерживать и управлять ей, а значит и немалые деньги.