0x01.
几天前发现VPS对HTTP(S)访问响应缓慢,遂登录SSH检查,用netstat -antp列出当前建立的所有TCP连接,发现一堆没有程序名的,到{公网ip}:3306的连接。
当然我对此完全不担心,这是针对MySQL服务器的攻击,而我的MySQL服务器只监听127.0.0.1:3306——它不需要远程访问。因此这个攻击者也压根无法连上。
但是抱着好奇的心态,我使用tcpdump抓包,并下载至本地使用WireShark分析.发现这个脚本小孩(Script Kid)正在透过TCP/3306,试图建立RDP(微软的远程桌面)连接.这简直笑死我了——
- 我不知道他那只眼睛看到我在用Windows作为操作系统,Apache的Server Signature清清楚楚写着
Apache/2.4.27 (Unix)…… -
RDP的默认端口是TCP/3389,不是3306
第一个还有的可解释,毕竟Linux上可以安装桌面环境+基于RDP协议的远程桌面;至于第二个,我真想给他亲笔发一封电子邮件(如果知道地址),告诉他这个Common Sense.
0x02.
(这个坑本来都不想填了)
一句话描述,就是另一个脚本小孩以为我的一个静态网站(无PHP等动态页面)是用WordPress搭建,不断针对wp-login.php和xmlrpc.php进行暴力破解.
还是把服务器签名关了最好……我看了这小子干的事情之后,觉得改成ASP.net或者IIS也不错233
Server Signature似乎无法关闭
但可以用
mod_security2修改……不知道骇客看到
X-Powered-By:ASP.net的Wordpress会怎么……那人家估计笑半分钟把网页关了。
anyway,避免只看server signature的脚本小子
其实我觉得他压根没看Server Signature
所以才会对我这服务器爆破RDP
另外,已经移除Server Signature中的操作系统类型(Unix)