脚本小孩の笑话两则

0x01.

几天前发现VPS对HTTP(S)访问响应缓慢,遂登录SSH检查,用netstat -antp列出当前建立的所有TCP连接,发现一堆没有程序名的,到{公网ip}:3306的连接。

当然我对此完全不担心,这是针对MySQL服务器的攻击,而我的MySQL服务器只监听127.0.0.1:3306——它不需要远程访问。因此这个攻击者也压根无法连上。

但是抱着好奇的心态,我使用tcpdump抓包,并下载至本地使用WireShark分析.发现这个脚本小孩(Script Kid)正在透过TCP/3306,试图建立RDP(微软的远程桌面)连接.这简直笑死我了——

  1. 我不知道他那只眼睛看到我在用Windows作为操作系统,Apache的Server Signature清清楚楚写着Apache/2.4.27 (Unix)……
  2. RDP的默认端口是TCP/3389,不是3306

第一个还有的可解释,毕竟Linux上可以安装桌面环境+基于RDP协议的远程桌面;至于第二个,我真想给他亲笔发一封电子邮件(如果知道地址),告诉他这个Common Sense.


0x02.

(这个坑本来都不想填了)

一句话描述,就是另一个脚本小孩以为我的一个静态网站(无PHP等动态页面)是用WordPress搭建,不断针对wp-login.php和xmlrpc.php进行暴力破解.

《脚本小孩の笑话两则》有4个想法

    1. @王琪亮 : Server Signature似乎无法关闭
      但可以用mod_security2修改……

      不知道骇客看到X-Powered-By:ASP.net的Wordpress会怎么……

        1. @王琪亮 : 其实我觉得他压根没看Server Signature
          所以才会对我这服务器爆破RDP

          另外,已经移除Server Signature中的操作系统类型(Unix)

发表评论

电子邮件地址不会被公开。