ssh 密码被暴力破解未遂我是已经经历了好久了，但攻击源是内网地址我还真是第一次见，我家的路由器 WAN 口获得的是公网地址，而不是 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 之一。

这到底是怎么回事？我们家的人除了我就没什么人玩电脑，更别提暴力破解了。而且我们家的内网网段还是 192.168.1.0/24，没有 10.170.166.3 这样的。。。

附上#last -f btmp | head -n 40 的输出：

https://s2.ax1x.com/2019/02/14/kB1FG6.png

（顺带一提：这台服务器的 ssh 端口做了端口映射到公网上去，因为我要用 sftp 接收一些文件）

10.段是运营商使用的内网段，是运营商大局域网里有台中毒电脑向外感染。

traceroute 这个 IP 地址看看是怎么走的？

你的 wan 口地址是多少？ 局域网分配的地址是多少？ 攻击地址是多少？

你的 wan 应该获取的只是局域网 IP 而不是你说的公网 IP，你在确认一次看看

码住，楼主有什么新的分析进展没有，倒是吱个声啊。

这个倒不奇怪
公网上并不是不许有私网 IP 的

你们小区的有电脑中毒了吧
你 apt-get/yum install 个 fail2ban 解决暴力破解这类的困扰

难道你奇怪的点不应该是
10.x 怎么跨路由到 192.x?
那能做这个路由的点在哪？

他说了 ssh 有做端口映射，猜测路由点应该就在家用网关上面几层。

小区就算用 10.x.x.1 难道路由不做内网隔离吗.
用的什么穿透啊.有的穿透会建立 vpn.


WAN IP 125.116.110.*
家庭网关 TP-LINK 路由器 192.168.1.1 192.168.1.0/24
Debian 虚拟机的宿主计算机(NAT 方式端口映射) 192.168.1.2

倒是没必要，因为这台 linux 里也没东西。。。

应该是了，ping 到那 ping 得通，TTL60，ping 网关 TTL 是 64

你把 125.116.110.*叫局域网 ip ？

承蒙各位好意，我先装个 nmap 扫扫看

。。。。。。
。。。。。。
。。。。。。
（请先允许我用 3 行句号来表示我此时的心情）
宿主机 nmap 发现有个端口好像开着 Web 服务器，进去一看，是个机顶盒。。。
https://s2.ax1x.com/2019/02/14/kBW8LF.png
大概率是烽火的 HG680 有什么漏洞被攻陷了、或者主人自己破解了这货然后到处煽风点火。

更新：
这个盒子安全性不高，它开着 adb over network，而且一句 adb connect 下去它就把自己的 root shell 交了。。。
https://s2.ax1x.com/2019/02/14/kBOB4K.png
还好意思说自己的设备名是 godbox(上帝之盒)。。。龟龟，烽火网络就是个弟弟。

tracert 10.170.166.3 看一下

公网上超过 90%的 ssh 弱口令扫描行为，不是来自真人，而是来自蠕虫病毒。
八成是内网有 ssh 弱口令蠕虫。很多 ssh 弱口令蠕虫 专门攻击机顶盒、摄像头等物联网设备，因为这些设备默认密码是固定的。

我还是很好奇，这条 10 的路由表是怎么被添加上的

部分 物联网&ssh 弱口令 蠕虫关键词：Mirai 物联网蠕虫、TruSSH 蠕虫、Hajime 蠕虫、HNS 蠕虫。。。

我这深圳电信公网 ip 是能 ping 通 192.168.x 某个段里的 ip 的。这个不奇怪

内网设备被 hack 了

这个没有默认密码(笑死)

咨询楼主是怎么连上机顶盒的，我家里也是类似的网络，不过移动光猫以及盒子的型号可能和楼主的不一样
光猫拨号拿到 100.x.x.x （似乎是运营商私网 ip ）, 光猫内网是 192.168.1.0/24, 但是能看在电视盒子的设置里面看到 Ip 地址是 10.x.x.x
win10 拿到的 Ip 是 192.168.1.x, 但是 tracert 到不了机顶盒，似乎是光猫那里没加到机顶盒的路由 ,不知道是不是光猫里面做了隔离
有没有办法让电脑通过内网连上电视盒子？

我们家没有机顶盒，这是别人家的。应该是宽带和 iptv 的流量在接入的地方设置出了毛病，内网隔离没弄好，结果两个不同功能客户端能互相访问了。

现在运营商为了便于维护和业务开通，推一种叫家庭网关的设备。
这种设备默认配置都是 IPTV 和 Internet 都在设备上开路由，完了通过 option64+路由表来分开 IPTV 和 Internet 流量。
如果配置有问题的话，确实有可能会在特定条件下把这两个网络联通......

我们家没有，应该是上游某一处配错了。
家庭网关也的确是在推，但是我家和附近好像都没用过，都是用一台小交换机把 iptv、宽带和入户线桥接起来的。

厂商安全意识太低了。。。。

其实本来宽带用户端也没法利用这些漏洞的，直到我们家附近某台路由器的路由表配错了。。。
而且，实测这些机顶盒，都是连不上网的，需要在宽带端的用户地方建立代理服务器。。。我好像明白为什么它要爆破我的服务器了

等楼主更新（