«

54 天,26.9 万次连接:互联网到底有多吵?

时间:2026-5-16 00:34     作者:独元殇     分类: 开发相关

欢迎关注我的公众号,名叫「串串狗小刊」

我今天在外网著名的 hashnode 社区,看到了一一个老外,做了一个实验。

原文在这个地方,对于安全运维人员,这是一篇很有价值的读物,

https://arman-bd.hashnode.dev/i-left-port-22-open-on-the-internet-for-54-days-here-s-who-showed-up

《我将端口22开放了54天,这是来客名单》

仅有 22 号端口大开,毫无防护,任何密码都能尝试登录。累计 26.9 万次连接,7556 个独立 IP 地址访问,还有少数入侵者自以为挖到了 “金矿”。

这文章写的非常棒!感觉真的值得给大家分享一下,科普一下,互联网世界到底有多危险和热闹。建议大家去看一下愿望,我把我做的一些笔记给大家分享一下。

如果把一台电脑,连上互联网,会发生什么。

作者使用一个蜜罐(伪造的电脑),Python 脚本,部署到了 22 端口(也就是著名的 SSH 默认端口,你可以理解为,这是一台服务器 电脑 的大门,只要破了,就能完全控制这台电脑)。

然后暴露到公网,这样全世界的人都可以访问它了!

如果不对外做任何宣传的话,你觉得是不是会无人问津,并不是:

仅仅过了 54 天,你知道访问日志有多大吗? 317mb !

实际上,一两个月,才这么一点儿日志,已经是属于互联网上人迹罕至的程度了,真实的机房等环境,绝大部分住宅IP,同样这样放任不管,日志会比这多几十几百倍。

都是谁访问呢?其实有个专用名词:僵尸网络。不言而明哈哈。

一些数据

看看作者披露的数据:

img

添加图片注释,不超过 140 字(可选)

这 54 天里,评价每天有 5000 次链接,每分钟平均 3.5 次。

img

添加图片注释,不超过 140 字(可选)

连接数据类型如上。

基本上是干啥的都有。

然后是坏人尝试的密码:

img

添加图片注释,不超过 140 字(可选)

最常用的是 123456 哈哈,然后是一些常用的各种乱七八糟的。

作者说 在255,566次登录尝试中,使用了48,102个不同的密码 !

如果坏人找到「正确」密码后,会干什么呢?

99.6% 的坏人,就是登录完,直接执行一行命令就跑了.... 看来是专门这么玩白嫖的,这还挺礼貌,起码不捣乱,就进来借一点算力。

那都是什么命令呢?排名前 5 的命令是:

  Command                                              Count
  -------                                              -----
  uname -s -v -n -r -m                                94,572
  export PATH=... ; uname=$(uname -s -v -n -m ...)    63,810
  echo -e "\x6F\x6B"                                   32,656
  /bin/./uname -s -v -n -r -m                         14,031
  cd ~; chattr -ia .ssh; lockr -ia .ssh                6,041

我简单注释一下:

1.探测服务器系统版本信息

2.修改环境变量继续采集系统信息

3.测试命令执行是否被拦截

4.换路径绕过屏蔽查询系统信息

5.解除 ssh 目录保护窃取登录密钥

有意思吧。

然后是连接量统计:

img

添加图片注释,不超过 140 字(可选)

在 3 月 2 日达到顶峰,平均 每 3 秒就一次访问。真热闹!!!

不过有意思的是,在此之后,就越来越少了。作者认为是因为僵尸网络大都给这个 IP 做了分类,知道这个服务器的信息了,就不再一直来逛了。

img

添加图片注释,不超过 140 字(可选)

可以看到坏人来逛的高峰期是在 协调世界时 01:00-04:00 ,也即是北京时间上午 9 点到 12 点。

令人哭笑不得的是,竟然还有自己的很明显的作息规律:

img

添加图片注释,不超过 140 字(可选)

星期一和星期天最忙,星期四最少,这是为什么呢?

然后是地域分布,(图敏感,我就不发了),这些坏人的 IP ,是美国最多,前 7 分别是:

img

添加图片注释,不超过 140 字(可选)

当然,这不是人,而是机房因素。因为悉尼的云数据中心深受僵尸网络运营商的青睐,以及荷兰、新加坡、美国的 服务器 比较便宜而已。真正的坏人,我们很难知道他们在哪里。

原文很长,还有很多细节,大家可以去看一下原文。下面是作者的结论:

1. 互联网上噪音不断

你的服务器并不特殊。没有人会"针对"它。互联网上的每个 IP 地址都在被自动化系统持续探测。只要暴露 22 号端口,几秒钟内就会收到登录尝试。这不是"是否"的问题,而是"何时"的问题——而"何时"的答案就是"立刻"。

2. 大多数攻击者都很愚蠢

99.6%的访客从未执行过一条以上的自动化指令。他们并非黑客——而是运行在被入侵设备上的脚本程序,听从 C2 服务器的指令,每天在数百万个 IP 上重复执行同一行 uname 命令。互联网上绝大多数所谓的"攻击"不过是背景噪音。

3. 少数聪明者极其聪明

那个使用 /dev/tcp/ 技巧、轮换 C2 基础设施、携带 UPX 压缩二进制文件的法国 IP?那是专业级的攻击工具。底层 99%的攻击者与顶层 1%之间的差距堪称天壤之别。

4. 加密货币是磁石

针对 Solana 节点凭证(solana/sol/validator/node)的尝试次数令人惊讶。在公开可访问的 SSH 端口上运行加密基础设施而不使用基于密钥的身份验证,正被积极搜寻。

5. 有些人只是出于好奇

来自喀麦隆的探索者、柏林那位打字缓慢的人、来自孟加拉国的人在 /var 目录下翻找并创建 text.txt 文件——这些并非恶意行为者。他们只是好奇的人类,发现了一扇敞开的门,想看看门后有什么。他们没有下载恶意软件,也没有试图建立持久化访问。他们只是……四处看了看。

6. 没人看 MOTD

登录时,蜜罐会显示完整的 Ubuntu 欢迎信息及系统状态。但没有任何交互式用户注意到或在意系统信息异常静止。他们做的第一件事是什么?ls。

【完】

哈哈,我其实想象过互联网很「热闹」,也亲眼看过我的 几十 个 VPS 的日志。

但是我没想到互联网热闹的背后的故事。

真挺有意思的。每分每秒,都有成千上万的机器在互联网上敲击每一扇门... 每个服务器都并非孤岛。它就像街区里的一栋房子,每晚每扇门都会被人试探...

标签: 原创 互联网