Back to Blog

服务器还在被攻击,这次我让 AI 帮我装了个「门卫」

林小卫很行

昨天分享了 我的 OpenClaw 被攻击了 3000+ 次,做了一些基础防护:改端口、禁 root账户密码、配密钥。

结果呢?攻击者很快就找到了新端口。

今天一天被攻击了 242 次。高峰时5 分钟内,有100 多次失败登录。 a1a80cc6a625a1898c2b41aba90b6ff6.jpg|400

我盯着日志看了一会儿,心想:这帮人是不睡觉的吗?

为什么偏偏是我?

我有个朋友也用腾讯云服务器,他那边风平浪静,我这边跟过年放鞭炮似的。

后来想明白了:这跟你做没做错什么没关系,纯粹是 IP 运气。

就像电话骚扰。有些号段天生就容易被轰炸。你的手机号如果落在某个「高频段」里,推销电话就是比别人多,你能怎么办?

换号?不至于。把防护做到位就行了。

给服务器请了个「门卫」

这次我装了个叫 Fail2ban 的东西。

名字听着唬人,原理很简单:它盯着你的登录日志,发现某个 IP 连续输错密码,就自动把这个 IP 拉黑。

你可以把它想象成小区门卫。有人在你家门口连续试了 5 次钥匙都打不开,门卫直接把他拦下来,以后都不让进。

image.png|400

我设的规则比较狠:10 分钟内错 5 次,永久封禁。

为什么这么严?因为正常人不可能连续输错 5 次密码。能错这么多次的,100% 是暴力破解。没必要给第二次机会。

装上之后,效果立竿见影:

指标 装之前 装之后
5 分钟失败次数 100+ 0
被封禁的 IP 0 个 7 个
服务器负担 一直在处理攻击 没感觉

攻击还在继续,但全被门卫挡在外面了。

你不需要懂这些

看到这里,你可能在想:这东西怎么装?要敲命令吗?

不用。

以上这些,我全程是跟 OpenClaw 一起完成的。

一开始我只是随口问了一句:「我今天有没有再继续遭受到异常的攻击?」

它帮我查了日志,告诉我:最近有大量 IP 在暴力破解 SSH。然后我说:「帮我装个 fail2ban 吧。」

它回了一句:「这个安装比较麻烦,因为系统仓库里没有,需要从源码编译……」

我说:我不管,你帮我装。

然后它就真的开始干了。自己去拉代码、装 Python 依赖、编译、写配置文件、启动服务。中间还碰到了一个日志路径不对的问题,它自己排查、自己修,我全程就在旁边看着。

装完之后它跟我确认:「已经配置好了,5 次失败登录就会永久封禁,你的 IP 已加入白名单。」

整个过程,我没敲过一行命令。

如果你也有云服务器,也担心安全,试试直接问你的 AI:「我的服务器最近有没有被攻击?」如果有,就跟它说要装 fail2ban。它可能会说麻烦,你坚持一下,它会想办法帮你处理好的。

把你担心的事跟它说清楚就行,技术的事它来。

image.png|400

我还想知道谁在攻击我

Fail2ban 装好之后,攻击确实被挡住了。但我还想知道:到底是谁在攻击?从哪来的?频率怎么样?

于是我又让 OpenClaw 帮我配了一个定时任务:每 5 分钟检查一次封禁列表,有新的封禁就发一条消息到飞书通知我。没有新封禁的时候,它就安安静静的,不打扰。

昨晚收到的一条通知长这样:

🚨 SSH 安全警报

新增封禁:2 个 IP 当前总封禁:9 个 IP

1、IP:87.98.166.118 失败次数:15 次 位置:法国 尝试用户:root, admin, ubuntu 状态:已永久封禁

2、IP:45.148.10.147 失败次数:8 次 位置:德国 尝试用户:root 状态:已永久封禁

✅ fail2ban 已自动拦截,服务器安全。

说实话,看到这些通知的时候,心态已经很平了。

不是为了「反杀」谁。这些攻击者大多用的是肉鸡,就是别人被入侵的服务器,封了这个 IP 他换一个继续来。

监控的价值不是反击,是心里有数。

知道攻击频率、来源、模式,万一哪天突然暴增,说明可能有新情况,我可以提前应对。平时没事的话,就当看个「安全日报」,挺安心的。

从被动到主动

现在我的服务器有三层防护:

第一层是上次做的基础防护:改端口、禁密码、用密钥。这一层的作用是提高攻击成本,把最低级的攻击过滤掉。

第二层是这次装的 Fail2ban:自动封禁。不用我盯着,有人暴力破解就自动拉黑。

第三层是监控告警,心里有数。谁来了、从哪来、试了几次,我都知道。

上次是发现问题,这次是解决问题。

从「被攻击了怎么办」到「被攻击了我知道」,心态完全不一样。

云服务器被攻击是常态,不是你的错。

上篇文章发出来之后,有朋友问我:你一个非小白,折腾这些不累吗?

说实话,还真不累。因为从头到尾,我就是在跟 AI 聊天。我说我担心什么,它帮我查;我说我想要什么,它帮我装。我甚至不需要知道 Fail2ban 是什么。

现在每次收到飞书的封禁通知,我都会瞄一眼,然后继续干别的事。

那种感觉,就像家里装了个监控摄像头:你不用一直盯着,但你知道有人在帮你看着。挺安心的。

你的OpenClaw 也有收到攻击吗?有没有设置了防护措施呢?欢迎留言聊聊,也可以加我一起交流:linauwawa。